Voltronic Power ViewPower Pro doDocument - уязвимость, связанная с обработкой XML External Entity и раскрытием информации. Эта уязвимость п…
Voltronic Power ViewPower Pro doDocument - уязвимость, связанная с обработкой XML External Entity и раскрытием информации. Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию в затронутых установках Voltronic Power ViewPower Pro. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в методе doDocument. Из-за неправильного ограничения ссылок XML External Entity (XXE) специально созданный документ, указывающий URI, заставляет XML-парсер получать доступ к URI и встраивать содержимое обратно в XML-документ для дальнейшей обработки. Злоумышленник может использовать эту уязвимость для раскрытия информации в контексте LOCAL SERVICE. ZDI-CAN-22081.
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →