Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en XML unmarshalling en Assyst (CVE-2021-30137)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
15/09/2021
Última modificación:
28/09/2021

Descripción

Assyst versión 10 SP7.5 ha autenticado una vulnerabilidad de tipo XXE que conlleva a una vulnerabilidad de tipo SSRF por medio de XML unmarshalling. La aplicación permite a usuarios enviar datos JSON o XML al servidor. Fue posible inyectar datos XML maliciosos mediante varios puntos de acceso

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:axiossystems:assyst:10:sp7.5:*:*:*:*:*:*


Referencias a soluciones, herramientas e información