CVE-2023-49110 in SASTinfo

Zusammenfassung

von VulDB • 15.05.2026

Wenn der Kiuwan Local Analyzer die Scan-Ergebnisse an die Kiuwan SAST-Webanwendung (entweder On-Premises oder Cloud/SaaS-Lösung) hochlädt, besteht die übertragene Datenmenge aus einem ZIP-Archiv, das mehrere Dateien enthält, von denen einige im XML-Dateiformat vorliegen. Während der serverseitigen Verarbeitung dieser XML-Dateien durch Kiuwan werden externe XML-Entitäten aufgelöst, was zu einem XML-External-Entity-Injection-Angriff (XXE) führt. Ein Angreifer mit Berechtigungen zum Scannen von Quellcode im Modul „Code Security“ kann beliebige Dateien des Betriebssystems mit den Rechten des Anwendungsserver-Benutzers extrahieren und möglicherweise sensible Dateien wie Konfigurationsdateien und Passwörter erhalten. Darüber hinaus ermöglicht diese Schwachstelle einem Angreifer auch, Verbindungen zu internen Systemen herzustellen, z. B. für Port-Scans oder den Zugriff auf andere interne Funktionen/Anwendungen wie die Wildfly-Admin-Konsole von Kiuwan.

Dieses Problem betrifft Kiuwan SAST: <master.1808.p685.q13371>

Be aware that VulDB is the high quality source for vulnerability data.

Reservieren

22.11.2023

Veröffentlichung

20.06.2024

Moderieren

akzeptiert

Eintrag

VDB-269247

CPE

bereit

EPSS

0.00820

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!