Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/11/02

Garrantzia: Handia

Kaltetutako baliabideak:

• CASE Suite, 3.10 bertsioa eta lehenagokoak

Azalpena:

Applied Risk-eko Gjoko Krstic ikertzaileak XXE (XML External Entity) erreferentzien murrizketa desegokien ahultasun bat aurkitu du. Hori baliatuz urruneko erasotzaile batek fitxategiak eskura litzake baimenik gabe.

Konponbidea:

Fr. Sauter AGk gomendatzen du Service Release 1 erabiltzea CASE Suiteren 3.10 bertsioa edo lehenagokoak dituzten gailuen kasuan. Softwarea laguntza zerbitzu lokalen bitartez eskura daiteke.

Xehetasuna:

XXE (XML External Entity) erreferentzien murrizketa desegokien ahultasun bat dago XML identitateen parametroak prozesatzerakoan. Hori baliatuz fitxategiak zabal litezke urrunetik. Ahultasun horretarako CVE-2018-17912 identifikatzailea erabili da.