ГлавнаяБаза уязвимостей БДУ → BDU:2025-00486
10критическая

BDU:2025-00486

Уязвимость функционального набора инструментов для приложений Kotlin HTTP http4k, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю проводить XXE-атаки
Опубликовано: 2025-01-20
Описание

Уязвимость функционального набора инструментов для приложений Kotlin HTTP http4k связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки

Затрагиваемое ПО и версии
http4k (до 5.41.0.0)http4k (до 4.50.0.0)
Способ устранения

Использование рекомендаций:
https://github.com/http4k/http4k/security/advisories/GHSA-7mj5-hjjj-8rgw

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/http4k/http4k/security/advisories/GHSA-7mj5-hjjj-8rgwhttps://github.com/http4k/http4k/blob/25696dff2d90206cc1da42f42a1a8dbcdbcdf18c/core/format/xml/src/main/kotlin/org/http4k/format/Xml.kt#L42-L46https://github.com/http4k/http4k/commit/35297adc6d6aca4951d50d8cdf17ff87a8b19fbc
Проверьте безопасность своего сайта и почты → Полная проверка домена