Уязвимость неправильного ограничения ссылки на внешний XML-сущность в WebDriverManager bonigarcia webdrivermanager на Windows, MacOS, Linux…
Уязвимость неправильного ограничения ссылки на внешний XML-сущность в WebDriverManager bonigarcia webdrivermanager на Windows, MacOS, Linux (модули разбора XML) позволяет осуществить атаку Data Serialization External Entities Blowup. Эта уязвимость связана с файлом src/main/java/io/github/bonigarcia/wdm/WebDriverManager.java [1]. Эта проблема затрагивает webdrivermanager: с версии 1.0.0 до версии 6.0.2. Источники: - [1] https://github.com/bonigarcia/webdrivermanager/pull/1458
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →