Внешняя организация XML (XXE) через несанитарный словарь парсинг в Apache OpenNLP DictionaryEntryПерсистор Пораженные версии: до 2.5.9, до …
Внешняя организация XML (XXE) через несанитарный словарь парсинг в Apache OpenNLP DictionaryEntryПерсистор Пораженные версии: до 2.5.9, до 3.0.0-M3 Описание: Класс DictionaryEntryPersistor инициализирует статический SAXParserFactory во время загрузки класса, не допуская FEATURE_SECURE_PROCESSING или отключающей обработку DTD. При вызове создания (InputStream, EntryInserter) единственным параметром, установленным на XMLReader, является поддержка пространства имен — разрешение внешних объектов и декларации DOCTYPE остаются полностью включенными. Злоумышленник, который может предоставить созданный файл словаря (например, список стоп-слова или словарь домена), содержащий вредоносное заявление DOCTYPE, может инициировать раскрытие локального файла через ссылки на объект файл или подделку запроса на стороне сервера через ссылки на объект http:// во время разбора SAX, прежде чем приложение обработает одну запись словаря. Это не соответствует собственному помощнику проекта XmlUtil.createSaxParser(), который правильно устанавливает FEATURE_SECURE_PROCESSING и disallow-doctype-decl и используется всеми другими путями разбора XML в кодовой базе. Публичный конструктор Dictionary (InputStream) делегирует непосредственно этому методу и является документированным API для загрузки пользовательских словарей, что делает ненадежные вводы реалистичным. Смягчение: 2.x пользователи должны обновиться до 2.5.9. Пользователи 3.x должны обновиться до 3.0.0-M3. Пользователи, которые не могут обновиться немедленно, должны убедиться, что все файлы словаря получены из доверенного происхождения, и должны рассмотреть возможность обертывания конструктора Dictionary (InputStream) с валидацией ввода, которая отклоняет любой XML, содержащий декларацию DOCTYPE, прежде чем он достигнет парсера.
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| apache-opennlp | Отслеживается | |
| apache-opennlp | Отслеживается | |
| apache-opennlp | Отслеживается | |
| apache-opennlp | Отслеживается | |
| opennlp | * | Отслеживается |