Компонент принимает входные данные XML через издателя, не отключая разрешение внешних объектов. Это позволяет злоумышленникам отправлять созданные полезные данные XML, которые используют неэкранированные ссылки на внешние сущности.
Воспользовавшись этой уязвимостью, злоумышленник может прочитать конфиденциальные файлы из файловой системы продукта или получить доступ к ограниченным ресурсам HTTP, доступным через запросы HTTP GET к уязвимому продукту.
Показать оригинальное описание (EN)
The component accepts XML input through the publisher without disabling external entity resolution. This allows malicious actors to submit a crafted XML payload that exploits the unescaped external entity references. By leveraging this vulnerability, a malicious actor can read confidential files from the product's file system or access limited HTTP resources reachable via HTTP GET requests to the vulnerable product.
Характеристики атаки
Последствия
Строка CVSS v3.1