Katalog CVE

CVE-2026-38429

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenCMS w wersji 20 i wcześniejszych jest podatny na atak typu XML External Entity (XXE) w funkcji importu bazy danych w panelu administracyjnym, z powodu niebezpiecznego parsowania XML w dostarczonych przez użytkownika plikach .zip zawierających manifest.xml.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do uzyskania dostępu do wrażliwych danych lub wykonania nieautoryzowanych operacji na serwerze, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację OpenCMS do najnowszej wersji, która naprawia tę podatność oraz wdrożenie zabezpieczeń w celu ograniczenia możliwości przesyłania niebezpiecznych plików przez użytkowników.

Oryginalny opis (angielski, źródło NVD)

OpenCMS v20 and before is vulnerable to XML External Entity (XXE) in the Admin Import DB feature due to insecure XML parsing of user supplied .zip files containing a manifest.xml.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS