Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el extractor de hojas XSLTStyles de Any23 RDFa en Any23 (CVE-2022-25312)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
05/03/2022
Última modificación:
12/03/2022

Descripción

Se ha detectado una vulnerabilidad de inyección de tipo XML external entity (XXE) en el extractor de hojas XSLTStyles de Any23 RDFa y se sabe que afecta a las versiones de Any23 versiones anteriores a 2.7. La vulnerabilidad de tipo XML external entity (también se conoce como XXE) es una vulnerabilidad de seguridad web que permite a un atacante interferir con el procesamiento de datos XML de una aplicación. A menudo permite a un atacante visualizar archivos en el sistema de archivos del servidor de la aplicación, e interactuar con cualquier back-end o sistema externo al que la propia aplicación pueda acceder. Este problema ha sido corregido en Apache Any23 versión 2.7

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:any23:*:*:*:*:*:*:*:* 2.7 (excluyendo)