Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo io/gpx/GPXDocumentReader.java en analizadores XML en TuxGuitar (CVE-2020-14940)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
23/06/2020
Última modificación:
07/07/2020

Descripción

Se detectó un problema en el archivo io/gpx/GPXDocumentReader.java en TuxGuitar versiones 1.5.4. Utiliza analizadores XML configurados inapropiadamente, conllevando a un ataque de tipo XXE al cargar archivos tablature GP6 (.gpx) y GP7 (.gp)

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:herac:tuxguitar:1.5.4:*:*:*:*:*:*:*