Katalog CVE

CVE-2024-55875

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
8.05%

Percentyl 92 - wyżej niż 92% wszystkich znanych CVE

Streszczenie

http4k to funkcjonalny zestaw narzędzi dla aplikacji HTTP w Kotlinie. W wersjach przed 6.50.0.0 występowała potencjalna podatność XXE (XML External Entity Injection), która mogła umożliwić atakującym odczyt lokalnych informacji wrażliwych na serwerze oraz wywołanie ataków SSRF i wykonanie kodu w określonych okolicznościach.

Ocena ryzyka

Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, w tym ujawnienia danych oraz zdalnego wykonania kodu, co stwarza zagrożenie dla integralności i poufności systemów organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 6.50.0.0 lub nowszej, aby zlikwidować tę podatność poprzez dodanie odpowiednich ustawień zabezpieczeń w konfiguracji parsowania XML.

Oryginalny opis (angielski, źródło NVD)

http4k is a functional toolkit for Kotlin HTTP applications. Prior to version 6.50.0.0, there is a potential XXE (XML External Entity Injection) vulnerability when http4k handling malicious XML contents within requests, which might allow attackers to read local sensitive information on server, trigger Server-side Request Forgery and even execute code under some circumstances. The original fix shipped in v5.41.0.0 / v4.50.0.0 closed the documented external-entity attack class (SSRF, local-file disclosure, code execution) by setting `ACCESS_EXTERNAL_DTD=""`, `ACCESS_EXTERNAL_SCHEMA=""`, and `isExpandEntityReferences=false` on the default `DocumentBuilderFactory`. A residual gap remained: the parser still accepted documents containing `<!DOCTYPE>` declarations even though external entity resolution was blocked. This left open billion-laughs-style internal entity expansion DoS attacks against any application using `Body.xml()` or `Document.asXmlDocument()` on untrusted XML. v6.50.0.0 closes this residual by adding `disallow-doctype-decl=true` and `FEATURE_SECURE_PROCESSING=true` to `defaultXmlParsingConfig`. Any document containing a `<!DOCTYPE>` is now rejected at parse time.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS