CVE-2023-49110 in SASTinformazioni

Riassunto

di VulDB • 25/06/2026

Quando il Local Analyzer di Kiuwan carica i risultati della scansione sull'applicazione web Kiuwan SAST (sia in locale che come soluzione cloud/SaaS), i dati trasmessi consistono in un archivio ZIP contenente diversi file, alcuni dei quali nel formato XML. Durante l'elaborazione lato server di questi file XML da parte di Kiuwan, vengono risolte entità XML esterne, causando un attacco di injection di entità XML esterna (XXE). Un attaccante con privilegi per eseguire la scansione del codice sorgente all'interno del modulo "Code Security" è in grado di estrarre qualsiasi file del sistema operativo con i diritti dell'utente del server delle applicazioni ed è potenzialmente in grado di accedere a file sensibili, come configurazioni e password. Inoltre, questa vulnerabilità consente anche a un attaccante di avviare connessioni verso sistemi interni, ad esempio per eseguire port scan o accedere ad altre funzioni/applicazioni interne, come la console di amministrazione Wildfly di Kiuwan.

Questo problema interessa Kiuwan SAST: <master.1808.p685.q13371>

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

22/11/2023

Divulgazione

20/06/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00820

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!