CVE-2023-23926 in APOCthông tin

Tóm tắt

Bởi VulDB • 12/07/2026

APOC (Awesome Procedures on Cypher) là một thư viện tiện ích bổ sung cho Neo4j. Một lỗ hổng XML External Entity (XXE) đã được phát hiện trong thủ tục apoc.import.graphml của plugin lõi APOC trước phiên bản 5.5.0 trên cơ sở dữ liệu đồ thị Neo4j. Tấn công chèn XML External Entity (XXE) xảy ra khi trình phân tích cú pháp XML cho phép giải quyết các thực thể bên ngoài. Trình phân tích cú pháp XML được sử dụng bởi thủ tục apoc.import.graphml không được cấu hình theo cách bảo mật và do đó đã cho phép điều này. Các thực thể bên ngoài có thể được sử dụng để đọc tệp cục bộ, gửi yêu cầu HTTP và tiến hành tấn công từ chối dịch vụ (DoS) đối với ứng dụng. Việc khai thác lỗ hổng XXE cho phép các đánh giá viên (assessors) đọc các tệp cục bộ từ xa. Mặc dù ở mức độ đặc quyền mà các đánh giá viên có được thì việc này bị giới hạn trong các tệp chỉ chứa một dòng. Với khả năng ghi vào cơ sở dữ liệu, bất kỳ tệp nào cũng có thể đã bị đọc. Ngoài ra, theo nhận định của các đánh giá viên thông qua thử nghiệm cục bộ, máy chủ có thể bị sập bằng cách truyền vào XML không được định dạng đúng chuẩn. Phiên bản tối thiểu chứa bản vá cho lỗ hổng này là 5.5.0. Những người không thể nâng cấp thư viện có thể kiểm soát danh sách trắng (allowlist) của các thủ tục có thể được sử dụng trong hệ thống của họ.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

19/01/2023

Tiết lộ

16/02/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00889

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!