CVE-2023-23926 in APOC
Resumen
por VulDB • 2026-06-25
APOC (Awesome Procedures on Cypher) es una biblioteca complementaria para Neo4j. Se ha encontrado una vulnerabilidad de Entidad Externa XML (XXE) en el procedimiento apoc.import.graphml del plugin core APOC anterior a la versión 5.5.0 en la base de datos gráfica Neo4j. La inyección XXE ocurre cuando el analizador XML permite que se resuelvan entidades externas. El analizador XML utilizado por el procedimiento apoc.import.graphml no estaba configurado de forma segura y, por lo tanto, permitía esta resolución. Las entidades externas pueden utilizarse para leer archivos locales, enviar solicitudes HTTP y realizar ataques de denegación de servicio contra la aplicación. Abusar de la vulnerabilidad XXE permitió a los evaluadores (assessors) leer archivos locales de forma remota. Aunque, con el nivel de privilegios que tenían los evaluadores, esto se limitaba a archivos de una sola línea. Con la capacidad de escribir en la base de datos, cualquier archivo podría haber sido leído. Además, los evaluadores señalaron que, mediante pruebas locales, era posible hacer que el servidor fallara al pasar XML con un formato incorrecto. La versión mínima que contiene un parche para esta vulnerabilidad es 5.5.0. Aquellos que no puedan actualizar la biblioteca pueden controlar la lista blanca de procedimientos que se pueden utilizar en su sistema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.