Vulnerabilidad en CycloneDX (CVE-2024-38374)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
28/06/2024
Última modificación:
01/07/2024
Descripción
El módulo principal de CycloneDX proporciona una representación modelo del SBOM junto con utilidades para ayudar a crear, validar y analizar SBOM. Antes de deserializar la lista de materiales de CycloneDX en formato XML, _cyclonedx-core-java_ aprovecha las expresiones XPath para determinar la versión del esquema de la lista de materiales. El `DocumentBuilderFactory` utilizado para evaluar expresiones XPath no estaba configurado de forma segura, lo que hacía que la biblioteca fuera vulnerable a la inyección de entidad externa XML (XXE). Esta vulnerabilidad se ha solucionado en cyclonedx-core-java versión 9.0.4.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA