MITRE CALDERA 2.9.0 Debrief Plugin XML External Entity

In MITRE CALDERA 2.9.0 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannter Programmcode der Komponente Debrief Plugin. Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Feld13.01.2022 07:1915.01.2022 14:05
vendorMITREMITRE
nameCALDERACALDERA
version2.9.02.9.0
componentDebrief PluginDebrief Plugin
cwe611 (XML External Entity)611 (XML External Entity)
risk22
cvss3_vuldb_acLL
cvss3_vuldb_uiNN
cvss3_vuldb_sUU
cvss3_vuldb_cLL
cvss3_vuldb_iLL
cvss3_vuldb_aLL
cvss3_vuldb_ePP
cvss3_vuldb_rcRR
urlhttps://github.com/DrunkenShells/Disclosures/tree/master/CVE-2021-42560-Unsafe%20XML%20Parsing-MITRE%20Calderahttps://github.com/DrunkenShells/Disclosures/tree/master/CVE-2021-42560-Unsafe%20XML%20Parsing-MITRE%20Caldera
availability11
publicity11
urlhttps://github.com/DrunkenShells/Disclosures/tree/master/CVE-2021-42560-Unsafe%20XML%20Parsing-MITRE%20Calderahttps://github.com/DrunkenShells/Disclosures/tree/master/CVE-2021-42560-Unsafe%20XML%20Parsing-MITRE%20Caldera
cveCVE-2021-42560CVE-2021-42560
cve_assigned16345080001634508000
date1642028400 (13.01.2022)1642028400 (13.01.2022)
cvss2_vuldb_acLL
cvss2_vuldb_ciPP
cvss2_vuldb_iiPP
cvss2_vuldb_aiPP
cvss2_vuldb_ePOCPOC
cvss2_vuldb_rcURUR
cvss2_vuldb_avAA
cvss2_vuldb_auSS
cvss2_vuldb_rlNDND
cvss3_vuldb_avAA
cvss3_vuldb_prLL
cvss3_vuldb_rlXX
cvss2_vuldb_basescore5.25.2
cvss2_vuldb_tempscore4.44.4
cvss3_vuldb_basescore5.55.5
cvss3_vuldb_tempscore5.05.0
cvss3_meta_basescore5.55.5
cvss3_meta_tempscore5.05.0
price_0day$0-$5k$0-$5k
cve_nvd_summaryAn issue was discovered in CALDERA 2.9.0. The Debrief plugin receives base64 encoded "SVG" parameters when generating a PDF document. These SVG documents are parsed in an unsafe manner and can be leveraged for XXE attacks (e.g., File Exfiltration, Server Side Request Forgery, Out of Band Exfiltration, etc.).

Want to stay up to date on a daily basis?

Enable the mail alert feature now!