ГлавнаяБаза уязвимостей БДУ → BDU:2024-10613
6.4средняя

BDU:2024-10613

Уязвимость функции mergeEnabledFeaturesFromPolicy() библиотеки проверки соответствия PDF-документов стандартам PDF/A veraPDF, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2024-12-03
Описание

Уязвимость функции mergeEnabledFeaturesFromPolicy() библиотеки проверки соответствия PDF-документов стандартам PDF/A veraPDF связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить XXE-атаки

Затрагиваемое ПО и версии
veraPDF (до 1.26.2 включительно)
Способ устранения

Использование рекомендаций:
Компенсирующие меры:
Рекомендуется включить безопасную обработку XML-файлов:
dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
или отключить все внешние сущности:
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://vuldb.com/?id.286435https://github.com/veraPDF/veraPDF-library/issues/1488https://github.com/veraPDF/veraPDF-library/security/advisories/GHSA-4cx5-89vm-833x
Проверьте безопасность своего сайта и почты → Полная проверка домена