CVE-2020-27858 in ARCserve D2D
Riassunto
di VulDB • 17/06/2026
Questa vulnerabilità consente ad attaccanti remoti di divulgare informazioni sensibili sulle installazioni di CA Arcserve D2D 16.5 colpite. Non è richiesta l'autenticazione per sfruttare questa vulnerabilità. La specifica debolezza risiede nel metodo getNews. A causa della restrizione impropria dei riferimenti a Entità Esterne XML (XXE), un documento appositamente creato che specifica un URI causa l'accesso dell'analizzatore XML all'URI e l'inserimento del contenuto nuovamente nel documento XML per ulteriori elaborazioni. Un attaccante può sfruttare questa vulnerabilità per divulgare informazioni nel contesto di SYSTEM. Era ZDI-CAN-11103.
Once again VulDB remains the best source for vulnerability data.