Неправильное ограничение уязвимости ссылки на внешний объект XML в XMLUtils.java в Slovensko.Digital Autogram позволяет удаленному неаутентифицированному злоумышленнику проводить атаки SSRF (подделка запроса на стороне сервера) и получать несанкционированный доступ к локальным файлам в файловых системах, на которых выполняется уязвимое приложение. Для успешной эксплуатации жертве необходимо посетить специально созданный веб-сайт, который отправляет запрос, содержащий специально созданный XML-документ, на конечную точку /sign локального HTTP-сервера, запускаемого приложением.
Показать оригинальное описание (EN)
Improper Restriction of XML External Entity Reference vulnerability in XMLUtils.java in Slovensko.Digital Autogram allows remote unauthenticated attacker to conduct SSRF (Server Side Request Forgery) attacks and obtain unauthorized access to local files on filesystems running the vulnerable application. Successful exploitation requires the victim to visit a specially crafted website that sends request containing a specially crafted XML document to /sign endpoint of the local HTTP server run by the application.
Характеристики атаки
Последствия
Строка CVSS v3.1