CVE-2022-24449

CRÍTIC: (9.8)

CVSS6: 8.5

Solar appScreener XML és vulnerable al processament d’entitats externes, causat per una validació incorrecta de l’entrada subministrada per l’usuari. Un atacant remot podria explotar aquesta vulnerabilitat per introduir una referència XML maliciosa a una entitat externa per ser processada per un analitzador XML feblement configurat. Un atacant pot utilitzar aquesta vulnerabilitat per llegir arxius arbitraris, causar una denegació de servei, dur a terme un atac SSRF, realitzar una exploració portuària des de la perspectiva de la màquina on es troba l’analitzador o aconseguir altres impactes del sistema.

Sistemes Afectats

• Rostelecom Solar appScreener 3.10.3
• Rostelecom Solar appScreener 3.10.2
• Rostelecom Solar appScreener 3.10.1
•  Rostelecom Solar appScreener 3.10.0

Remediació
Actualitzeu a l’última versió de appScreener (3.10.4 o posterior), disponible des del lloc web de Rostelecom Solar. Vegeu Referències.

Referències

• https://github.com/jet-pentest/CVE-2022-24449
• https://en.rt-solar.ru/products/solarAPPscreener/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24449 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1526