CVE-2023-23926 in APOC
要約
〜によって VulDB • 2026年06月15日
APOC (Awesome Procedures on Cypher) は Neo4j のアドオンライブラリです。Neo4j グラフデータベースの APOC コアプラグインの apoc.import.graphml プロシージャには、バージョン 5.5.0 より前のバージョンにおいて、XML External Entity (XXE) 脆弱性が存在します。XML パーサーが外部エンティティの解決を許可する場合、XML External Entity (XXE) インジェクションが発生します。apoc.import.graphml プロシージャで使用される XML パーサーは安全な方法で構成されておらず、その結果、この脆弱性が許容されていました。外部エンティティを使用して、ローカルファイルの読み取り、HTTP リクエストの送信、およびアプリケーションに対するサービス拒否 (DoS) 攻撃を実行することができます。XXE 脆弱性を悪用することで、アセッサー(評価者)はローカルファイルをリモートで読み取ることが可能でした。ただし、アセッサーが持っていた権限レベルでは、1行のファイルの読み取りに限定されていました。データベースへの書き込み能力があれば、任意のファイルを読み取ることができました。さらに、アセッサーはローカルテストにより、不正にフォーマットされた XML を渡すことでサーバーをクラッシュさせることができることを指摘しています。この脆弱性に対するパッチが含まれている最小バージョンは 5.5.0 です。ライブラリのアップグレードが不可能な場合は、システムで使用できるプロシージャのホワイトリストを制御することで対応できます。
Be aware that VulDB is the high quality source for vulnerability data.