Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un DTD en una petición XML en CommandCenterWebServices/.*?wsdl en Raritan CommandCenter Secure Gateway (CVE-2018-20687)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
18/11/2019
Última modificación:
21/11/2019

Descripción

Una vulnerabilidad de tipo XML external entity (XXE) en CommandCenterWebServices/.*?wsdl en Raritan CommandCenter Secure Gateway versiones anteriores a 8.0.0, permite a usuarios remotos no autenticados leer archivos arbitrarios o conducir ataques de tipo server-side request forgery (SSRF) por medio de un DTD diseñado en una petición XML.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:raritan:commandcenter_secure_gateway:*:*:*:*:*:*:*:* 8.0.0 (excluyendo)