Vulnerabilidad en el extractor de hojas XSLTStyles de Any23 RDFa en Any23 (CVE-2022-25312)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
05/03/2022
Última modificación:
12/03/2022
Descripción
Se ha detectado una vulnerabilidad de inyección de tipo XML external entity (XXE) en el extractor de hojas XSLTStyles de Any23 RDFa y se sabe que afecta a las versiones de Any23 versiones anteriores a 2.7. La vulnerabilidad de tipo XML external entity (también se conoce como XXE) es una vulnerabilidad de seguridad web que permite a un atacante interferir con el procesamiento de datos XML de una aplicación. A menudo permite a un atacante visualizar archivos en el sistema de archivos del servidor de la aplicación, e interactuar con cualquier back-end o sistema externo al que la propia aplicación pueda acceder. Este problema ha sido corregido en Apache Any23 versión 2.7
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:any23:*:*:*:*:*:*:*:* | 2.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página