Inyección XXE en OpenKM

Fecha de publicación: 15/07/2022

Importancia:
Alta

Recursos afectados:

OpenKM Document Management Community, versión 6.3.10 y anteriores.

Descripción:

INCIBE ha coordinado la publicación de una vulnerabilidad en OpenKM, con el código interno INCIBE-2022-0831, que ha sido descubierta por Keval Shah.

A esta vulnerabilidad se le ha asignado el código CVE-2022-2131. Se ha calculado una puntuación base CVSS v3.1 de 8,5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:L.

Solución:

Esta vulnerabilidad ha sido resuelta por el equipo de OpenKM en la versión 6.3.11, publicada el 20/05/2021.

Detalle:

OpenKM Community Edition en su versión 6.3.10 y anteriores utilizaba el parser XMLReader en el archivo XMLTextExtractor.java sin los flags de seguridad requeridos, permitiendo a un atacante realizar un ataque de inyección de entidad externa XML.

CWE-611: restricción incorrecta de referencia a entidad externa XML (XXE).

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Etiquetas:
0day, Actualización, CNA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.