CVE-2023-38693
KrytyczneStreszczenie
Serwer Lucee, oparty na Javie, ma podatność na zdalne wykonanie kodu (RCE) poprzez atak XML XXE w punkcie końcowym REST. Problem ten został naprawiony w wersjach Lucee 5.4.3.2, 5.3.12.1, 5.3.7.59, 5.3.8.236 oraz 5.3.9.173.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.
Rekomendacja
Zaleca się aktualizację serwera Lucee do najnowszej wersji, aby usunąć tę podatność i zabezpieczyć aplikacje przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Lucee Server (or simply Lucee) is a dynamic, Java based, tag and scripting language used for rapid web application development. The Lucee REST endpoint is vulnerable to RCE via an XML XXE attack. This vulnerability is fixed in Lucee 5.4.3.2, 5.3.12.1, 5.3.7.59, 5.3.8.236, and 5.3.9.173.

