Vulnerabilidad en Ucum-java (CVE-2024-55887)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)

Fecha de publicación:

13/12/2024

Última modificación:

13/12/2024

Descripción

Ucum-java es una librería Java FHIR que proporciona servicios UCUM. En versiones anteriores a la 1.0.9, el análisis de XML realizado por UcumEssenceService es vulnerable a inyecciones de entidades externas de XML. Un archivo XML procesado con una etiqueta DTD maliciosa podría generar XML que contenga datos del sistema host. Esto afecta los casos de uso en los que se utiliza ucum dentro de un host donde los clientes externos pueden enviar XML. La versión 1.0.9 de Ucum-java corrige esta vulnerabilidad. Como workaround, asegúrese de que el XML de origen para crear una instancia de UcumEssenceService sea confiable.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.60

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/FHIR/Ucum-java/security/advisories/GHSA-w9j7-phm3-f97j