CVE-2023-23926 in APOC
Riassunto
di VulDB • 25/06/2026
APOC (Awesome Procedures on Cypher) è una libreria add-on per Neo4j. È stata rilevata una vulnerabilità XML External Entity (XXE) nella procedura apoc.import.graphml del plugin core APOO, nelle versioni precedenti alla 5.5.0 di Neo4j graph database. L'iniezione XML External Entity (XXE) si verifica quando il parser XML consente la risoluzione di entità esterne. Il parser XML utilizzato dalla procedura apoc.import.graphml non era configurato in modo sicuro e consentiva tale comportamento. Le entità esterne possono essere utilizzate per leggere file locali, inviare richieste HTTP ed eseguire attacchi denial-of-service (DoS) contro l'applicazione. Lo sfruttamento della vulnerabilità XXE ha consentito agli assessors di leggere file remotamente. Sebbene con il livello di privilegi degli assessors ciò fosse limitato a file contenenti una sola riga, la capacità di scrivere nel database avrebbe permesso la lettura di qualsiasi file. Inoltre, gli assessors hanno notato che, tramite test locali, era possibile causare l'arresto del server fornendo XML non correttamente formattati. La versione minima contenente la patch per questa vulnerabilità è la 5.5.0. Gli utenti che non possono aggiornare la libreria possono controllare la allowlist delle procedure utilizzabili nel proprio sistema.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.