Katalog CVE

CVE-2026-24400

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach od 1.4.0 do 3.27.7 biblioteki AssertJ występuje podatność typu XML External Entity (XXE) w metodzie `toXmlDocument(String)` klasy `XmlStringPrettyFormatter`. Problem polega na tym, że `DocumentBuilderFactory` jest inicjowany z domyślnymi ustawieniami, co nie wyłącza DTD ani zewnętrznych encji.

Ocena ryzyka

Organizacja jest narażona na ataki, gdy przetwarza niezaufane dane XML za pomocą metod `isXmlEqualTo(CharSequence)` lub `xmlPrettyFormat(String)`. Atakujący może uzyskać dostęp do lokalnych plików lub przeprowadzić ataki typu Server-Side Request Forgery (SSRF).

Rekomendacja

Zaleca się aktualizację biblioteki AssertJ do wersji 3.27.7 lub nowszej oraz unikanie przetwarzania niezaufanych danych XML w aplikacjach korzystających z tej biblioteki.

Oryginalny opis (angielski, źródło NVD)

AssertJ provides Fluent testing assertions for Java and the Java Virtual Machine (JVM). Starting in version 1.4.0 and prior to version 3.27.7, an XML External Entity (XXE) vulnerability exists in `org.assertj.core.util.xml.XmlStringPrettyFormatter`: the `toXmlDocument(String)` method initializes `DocumentBuilderFactory` with default settings, without disabling DTDs or external entities. This formatter is used by the `isXmlEqualTo(CharSequence)` assertion for `CharSequence` values. An application is vulnerable only when it uses untrusted XML input with either `isXmlEqualTo(CharSequence)` from `org.assertj.core.api.AbstractCharSequenceAssert` or `xmlPrettyFormat(String)` from `org.assertj.core.util.xml.XmlStringPrettyFormatter`. If untrusted XML input is processed by tone of these methods, an attacker couldnread arbitrary local files via `file://` URIs (e.g., `/etc/passwd`, application configuration files); perform Server-Side Request Forgery (SSRF) via HTTP/HTTPS URIs, and/or cause Deni

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS