PowSyBl (Power System Blocks) - это фреймворк для создания программного обеспечения, ориентированного на энергетическую систему. До версии …
PowSyBl (Power System Blocks) - это фреймворк для создания программного обеспечения, ориентированного на энергетическую систему. До версии 6.7.2, в некоторых местах, Powsybl-ядерный XML-разрывный XML уязвим для атаки внешнего объекта XML (XXE) и атаки на стороне сервера (SSRF). Это позволяет злоумышленнику повысить свои привилегии для чтения файлов, на которые у него нет разрешений, включая конфиденциальные файлы в системе. Уязвимый класс - com.powsybl.commons.xml.XmlReader, который считается ненадежным в случаях использования, когда ненадежные пользователи могут отправлять свои XML уязвимым методам. Это может быть приложение с несколькими квартирами, в котором размещается много разных пользователей, возможно, с разными уровнями привилегий. Этот вопрос был исправлен в com.powsybl:powsybl-commons: 6.7.2.
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →