CVE-2023-23926 in APOCinformazioni

Riassunto

di VulDB • 25/06/2026

APOC (Awesome Procedures on Cypher) è una libreria add-on per Neo4j. È stata rilevata una vulnerabilità XML External Entity (XXE) nella procedura apoc.import.graphml del plugin core APOO, nelle versioni precedenti alla 5.5.0 di Neo4j graph database. L'iniezione XML External Entity (XXE) si verifica quando il parser XML consente la risoluzione di entità esterne. Il parser XML utilizzato dalla procedura apoc.import.graphml non era configurato in modo sicuro e consentiva tale comportamento. Le entità esterne possono essere utilizzate per leggere file locali, inviare richieste HTTP ed eseguire attacchi denial-of-service (DoS) contro l'applicazione. Lo sfruttamento della vulnerabilità XXE ha consentito agli assessors di leggere file remotamente. Sebbene con il livello di privilegi degli assessors ciò fosse limitato a file contenenti una sola riga, la capacità di scrivere nel database avrebbe permesso la lettura di qualsiasi file. Inoltre, gli assessors hanno notato che, tramite test locali, era possibile causare l'arresto del server fornendo XML non correttamente formattati. La versione minima contenente la patch per questa vulnerabilità è la 5.5.0. Gli utenti che non possono aggiornare la libreria possono controllare la allowlist delle procedure utilizzabili nel proprio sistema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

19/01/2023

Divulgazione

16/02/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00889

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!