CVE-2023-23926 in APOC
الملخص
بحسب VulDB • 12/07/2026
APOC (Awesome Procedures on Cypher) هو مكتبة إضافية لـ Neo4j. تم العثور على ثغرة كيان خارجي في XML (XXE) في إجراء apoc.import.graphml الخاص بإضافة APOC core قبل الإصدار 5.5.0 في قاعدة بيانات الرسوم البيانية Neo4j. يحدث حقن الكيان الخارجي في XML عندما يسمح مفسر XML بحل الكيانات الخارجية. لم يتم تكوين مفسر XML المستخدم بواسطة إجراء apoc.import.graphml بطريقة آمنة، وبالتالي سمح بذلك. يمكن استخدام الكيانات الخارجية لقراءة الملفات المحلية وإرسال طلبات HTTP وتنفيذ هجمات حجب الخدمة على التطبيق. استغلال ثغرة XXE مكّن المقيّمين من قراءة الملفات المحلية عن بُعد. وعلى الرغم من أن مستوى الامتيازات الذي كان لدى المقيّمين يحدّ ذلك إلى ملفات ذات سطر واحد، إلا أنه مع القدرة على الكتابة في قاعدة البيانات، يمكن قراءة أي ملف. بالإضافة إلى ذلك، لاحظ المقيّمون، عبر الاختبارات المحلية، أنه يمكن إسقاط الخادم عن طريق تمرير XML غير مُنسّق بشكل صحيح. الإصدار الأدنى الذي يحتوي على تصحيح لهذه الثغرة هو 5.5.0. أولئك الذين لا يستطيعون ترقية المكتبة يمكنهم التحكم في قائمة السماح للإجراءات التي يمكن استخدامها في نظامك.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.