gturri aXMLRPC bis 1.12.0 ResponseParser.java ResponseParser XML External Entity
In gturri aXMLRPC bis 1.12.0 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Es geht um die Funktion ResponseParser
der Datei src/main/java/de/timroes/axmlrpc/ResponseParser.java. Mit der Manipulation mit unbekannten Daten kann eine XML External Entity-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-611. Die Gefahr wurde am 25.01.2024 als 456752ebc1ef4c0db980cb5b01a0b3cd0a9e0bae an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2020-36641 vorgenommen. Der Angriff kann im lokalen Netzwerk erfolgen. Es sind technische Details verfügbar. Es ist soweit kein Exploit verfügbar.
Er gilt als nicht definiert. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 1.14.0 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Der Patch wird als 456752ebc1ef4c0db980cb5b01a0b3cd0a9e0bae bezeichnet. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
64 weitere Einträge werden nicht mehr angezeigt