Продукт Symantec Messaging Gateway до версии 10.6.6 может быть подвержен эксплойту XML External Entity (XXE), который является типом пробле…
Продукт Symantec Messaging Gateway до версии 10.6.6 может быть подвержен эксплойту XML External Entity (XXE), который является типом проблемы, когда XML-ввод, содержащий ссылку на внешнюю сущность, обрабатывается слабо настроенным XML-парсером. Атака использует схемы URI файлов или относительные пути в системном идентификаторе для доступа к файлам, которые обычно не должны быть доступны.
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →