Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en CycloneDX (CVE-2024-38374)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
28/06/2024
Última modificación:
01/07/2024

Descripción

El módulo principal de CycloneDX proporciona una representación modelo del SBOM junto con utilidades para ayudar a crear, validar y analizar SBOM. Antes de deserializar la lista de materiales de CycloneDX en formato XML, _cyclonedx-core-java_ aprovecha las expresiones XPath para determinar la versión del esquema de la lista de materiales. El `DocumentBuilderFactory` utilizado para evaluar expresiones XPath no estaba configurado de forma segura, lo que hacía que la biblioteca fuera vulnerable a la inyección de entidad externa XML (XXE). Esta vulnerabilidad se ha solucionado en cyclonedx-core-java versión 9.0.4.