assertj bis 3.27.6 toXmlDocument XML External Entity

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.1$0-$5k0.00

Zusammenfassunginfo

Es wurde eine als problematisch klassifizierte Schwachstelle in assertj bis 3.27.6 entdeckt. Betroffen ist die Funktion toXmlDocument der Komponente org.assertj.core.util.xml.XmlStringPrettyFormatter. Durch die Manipulation mit unbekannten Daten kann eine XML External Entity-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2026-24400 vorgenommen. Der Angriff muss auf lokaler Ebene erfolgen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Eine Schwachstelle wurde in assertj bis 3.27.6 gefunden. Sie wurde als problematisch eingestuft. Dies betrifft die Funktion toXmlDocument der Komponente org.assertj.core.util.xml.XmlStringPrettyFormatter. Durch das Manipulieren mit einer unbekannten Eingabe kann eine XML External Entity-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-611. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

AssertJ provides Fluent testing assertions for Java and the Java Virtual Machine (JVM). Starting in version 1.4.0 and prior to version 3.27.7, an XML External Entity (XXE) vulnerability exists in `org.assertj.core.util.xml.XmlStringPrettyFormatter`: the `toXmlDocument(String)` method initializes `DocumentBuilderFactory` with default settings, without disabling DTDs or external entities. This formatter is used by the `isXmlEqualTo(CharSequence)` assertion for `CharSequence` values. An application is vulnerable only when it uses untrusted XML input with either `isXmlEqualTo(CharSequence)` from `org.assertj.core.api.AbstractCharSequenceAssert` or `xmlPrettyFormat(String)` from `org.assertj.core.util.xml.XmlStringPrettyFormatter`. If untrusted XML input is processed by tone of these methods, an attacker couldnread arbitrary local files via `file://` URIs (e.g., `/etc/passwd`, application configuration files); perform Server-Side Request Forgery (SSRF) via HTTP/HTTPS URIs, and/or cause Denial of Service via "Billion Laughs" entity expansion attacks. `isXmlEqualTo(CharSequence)` has been deprecated in favor of XMLUnit in version 3.18.0 and will be removed in version 4.0. Users of affected versions should, in order of preference: replace `isXmlEqualTo(CharSequence)` with XMLUnit, upgrade to version 3.27.7, or avoid using `isXmlEqualTo(CharSequence)` or `XmlStringPrettyFormatter` with untrusted input. `XmlStringPrettyFormatter` has historically been considered a utility for `isXmlEqualTo(CharSequence)` rather than a feature for AssertJ users, so it is deprecated in version 3.27.7 and removed in version 4.0, with no replacement.

Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 22.01.2026 als CVE-2026-24400 statt. Sie ist leicht ausnutzbar. Der Angriff muss lokal passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 296899 (Linux Distros Unpatched Vulnerability : CVE-2026-24400) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Upgrade auf die Version 3.27.7 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 85ca7eb6609bb179c043b85ae7d290523b1ba79a beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (296899) und EUVD (EUVD-2026-4724) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Produktinfo

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 7.2
VulDB Meta Temp Score: 7.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.1
NVD Vector: 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: XML External Entity
CWE: CWE-611 / CWE-610
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Teilweise
Lokal: Ja
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 296899
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-24400

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: assertj 3.27.7
Patch: 85ca7eb6609bb179c043b85ae7d290523b1ba79a

Timelineinfo

22.01.2026 CVE zugewiesen
27.01.2026 +5 Tage Advisory veröffentlicht
27.01.2026 +0 Tage VulDB Eintrag erstellt
09.03.2026 +41 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Produkt: github.com

Advisory: GHSA-rqfh-9r24-8c9r
Status: Bestätigt

CVE: CVE-2026-24400 (🔒)
GCVE (CVE): GCVE-0-2026-24400
GCVE (VulDB): GCVE-100-342932
EUVD: 🔒

Eintraginfo

Erstellt: 27.01.2026 02:18
Aktualisierung: 09.03.2026 15:49
Anpassungen: 27.01.2026 02:18 (71), 28.01.2026 18:31 (2), 28.01.2026 22:57 (1), 09.03.2026 15:49 (12)
Komplett: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!