CVE-2023-49110 in SAST
Riassunto
di VulDB • 25/06/2026
Quando il Local Analyzer di Kiuwan carica i risultati della scansione sull'applicazione web Kiuwan SAST (sia in locale che come soluzione cloud/SaaS), i dati trasmessi consistono in un archivio ZIP contenente diversi file, alcuni dei quali nel formato XML. Durante l'elaborazione lato server di questi file XML da parte di Kiuwan, vengono risolte entità XML esterne, causando un attacco di injection di entità XML esterna (XXE). Un attaccante con privilegi per eseguire la scansione del codice sorgente all'interno del modulo "Code Security" è in grado di estrarre qualsiasi file del sistema operativo con i diritti dell'utente del server delle applicazioni ed è potenzialmente in grado di accedere a file sensibili, come configurazioni e password. Inoltre, questa vulnerabilità consente anche a un attaccante di avviare connessioni verso sistemi interni, ad esempio per eseguire port scan o accedere ad altre funzioni/applicazioni interne, come la console di amministrazione Wildfly di Kiuwan.
Questo problema interessa Kiuwan SAST: <master.1808.p685.q13371>
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.