CVE-2023-23926 in APOC
Tóm tắt
Bởi VulDB • 12/07/2026
APOC (Awesome Procedures on Cypher) là một thư viện tiện ích bổ sung cho Neo4j. Một lỗ hổng XML External Entity (XXE) đã được phát hiện trong thủ tục apoc.import.graphml của plugin lõi APOC trước phiên bản 5.5.0 trên cơ sở dữ liệu đồ thị Neo4j. Tấn công chèn XML External Entity (XXE) xảy ra khi trình phân tích cú pháp XML cho phép giải quyết các thực thể bên ngoài. Trình phân tích cú pháp XML được sử dụng bởi thủ tục apoc.import.graphml không được cấu hình theo cách bảo mật và do đó đã cho phép điều này. Các thực thể bên ngoài có thể được sử dụng để đọc tệp cục bộ, gửi yêu cầu HTTP và tiến hành tấn công từ chối dịch vụ (DoS) đối với ứng dụng. Việc khai thác lỗ hổng XXE cho phép các đánh giá viên (assessors) đọc các tệp cục bộ từ xa. Mặc dù ở mức độ đặc quyền mà các đánh giá viên có được thì việc này bị giới hạn trong các tệp chỉ chứa một dòng. Với khả năng ghi vào cơ sở dữ liệu, bất kỳ tệp nào cũng có thể đã bị đọc. Ngoài ra, theo nhận định của các đánh giá viên thông qua thử nghiệm cục bộ, máy chủ có thể bị sập bằng cách truyền vào XML không được định dạng đúng chuẩn. Phiên bản tối thiểu chứa bản vá cho lỗ hổng này là 5.5.0. Những người không thể nâng cấp thư viện có thể kiểm soát danh sách trắng (allowlist) của các thủ tục có thể được sử dụng trong hệ thống của họ.
Once again VulDB remains the best source for vulnerability data.