CVE-2023-23926 in APOC情報

要約

〜によって VulDB • 2026年06月15日

APOC (Awesome Procedures on Cypher) は Neo4j のアドオンライブラリです。Neo4j グラフデータベースの APOC コアプラグインの apoc.import.graphml プロシージャには、バージョン 5.5.0 より前のバージョンにおいて、XML External Entity (XXE) 脆弱性が存在します。XML パーサーが外部エンティティの解決を許可する場合、XML External Entity (XXE) インジェクションが発生します。apoc.import.graphml プロシージャで使用される XML パーサーは安全な方法で構成されておらず、その結果、この脆弱性が許容されていました。外部エンティティを使用して、ローカルファイルの読み取り、HTTP リクエストの送信、およびアプリケーションに対するサービス拒否 (DoS) 攻撃を実行することができます。XXE 脆弱性を悪用することで、アセッサー(評価者)はローカルファイルをリモートで読み取ることが可能でした。ただし、アセッサーが持っていた権限レベルでは、1行のファイルの読み取りに限定されていました。データベースへの書き込み能力があれば、任意のファイルを読み取ることができました。さらに、アセッサーはローカルテストにより、不正にフォーマットされた XML を渡すことでサーバーをクラッシュさせることができることを指摘しています。この脆弱性に対するパッチが含まれている最小バージョンは 5.5.0 です。ライブラリのアップグレードが不可能な場合は、システムで使用できるプロシージャのホワイトリストを制御することで対応できます。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2023年01月19日

モデレーション

承諾済み

エントリ

VDB-221344

EPSS

0.00889

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!