CVE-2022-21949
Multiple XXE vulnerabilities in OBS
En resumen
OBS tiene una vulnerabilidad que permite a atacantes insertar código XML malicioso para leer archivos sensibles del servidor. Esta información puede ser utilizada para obtener acceso de administrador al sistema OBS.
Detalle técnico
Vulnerabilidad de XML External Entity (XXE) en OBS permite que atacantes remotos hagan referencia a entidades externas en operaciones de procesamiento de XML, permitiendo la divulgación arbitraria de archivos. La explotación requiere la capacidad de enviar entrada XML especialmente diseñada a endpoints vulnerables; el éxito puede conducir a divulgación de información que facilita la escalación de privilegios a nivel de administrador.
Resumen generado y traducido por IA a partir de la descripción oficial.
A Improper Restriction of XML External Entity Reference vulnerability in SUSE Open Build Service allows remote attackers to reference external entities in certain operations. This can be used to gain information from the server that can be abused to escalate to Admin privileges on OBS. This issue affects: SUSE Open Build Service Open Build Service versions prior to 2.10.13.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
SUSE · Open Build Service¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →