CVE-2023-23926 in APOCinformación

Resumen

por VulDB • 2026-06-25

APOC (Awesome Procedures on Cypher) es una biblioteca complementaria para Neo4j. Se ha encontrado una vulnerabilidad de Entidad Externa XML (XXE) en el procedimiento apoc.import.graphml del plugin core APOC anterior a la versión 5.5.0 en la base de datos gráfica Neo4j. La inyección XXE ocurre cuando el analizador XML permite que se resuelvan entidades externas. El analizador XML utilizado por el procedimiento apoc.import.graphml no estaba configurado de forma segura y, por lo tanto, permitía esta resolución. Las entidades externas pueden utilizarse para leer archivos locales, enviar solicitudes HTTP y realizar ataques de denegación de servicio contra la aplicación. Abusar de la vulnerabilidad XXE permitió a los evaluadores (assessors) leer archivos locales de forma remota. Aunque, con el nivel de privilegios que tenían los evaluadores, esto se limitaba a archivos de una sola línea. Con la capacidad de escribir en la base de datos, cualquier archivo podría haber sido leído. Además, los evaluadores señalaron que, mediante pruebas locales, era posible hacer que el servidor fallara al pasar XML con un formato incorrecto. La versión mínima que contiene un parche para esta vulnerabilidad es 5.5.0. Aquellos que no puedan actualizar la biblioteca pueden controlar la lista blanca de procedimientos que se pueden utilizar en su sistema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2023-01-19

Divulgación

2023-02-16

Moderación

aceptado

Artículo

VDB-221344

CPE

listo

EPSS

0.00889

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!