CVE-2026-12993
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
W Apicurio Registry wykryto podatność polegającą na tym, że DocumentBuilderAccessor blokuje zewnętrzne DTD i schematy, ale nie wyłącza deklaracji DOCTYPE ani nie włącza FEATURE_SECURE_PROCESSING. Osoba atakująca z uprawnieniami do zapisu artefaktów może przesłać dokumenty XML z ładunkami wewnętrznej ekspansji encji (wariant billion-laughs), co prowadzi do wyczerpania CPU i pamięci, częściowo ograniczone przez domyślny limit 64 000 ekspansji encji w JAXP.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu XML Entity Expansion (billion-laughs), który może spowodować odmowę usługi (DoS) poprzez wyczerpanie zasobów CPU i pamięci serwera, co wpływa na dostępność systemu.
Rekomendacja
Należy zaktualizować Apicurio Registry do wersji, w której podatność została załatana, lub ręcznie skonfigurować DocumentBuilderFactory, aby wyłączyć DOCTYPE i włączyć FEATURE_SECURE_PROCESSING.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in Apicurio Registry. The DocumentBuilderAccessor correctly blocks external DTD and schema access but does not disable DOCTYPE declarations or enable FEATURE_SECURE_PROCESSING. An attacker with artifact-write permission can upload XML documents with internal entity-expansion payloads (billion-laughs variant) that cause CPU and heap exhaustion, partially mitigated by the JAXP default 64,000 entity-expansion limit.

