CVE-2023-28008
HCL Workload Automation is vulnerable to XML External Entity (XXE) Injection
En resumen
HCL Workload Automation procesa archivos XML de forma insegura, permitiendo que atacantes lean datos confidenciales o causen indisponibilidad inyectando código XML malicioso. El software no valida adecuadamente las entidades externas en documentos XML.
Detalle técnico
Vulnerabilidad de inyección XXE en HCL Workload Automation 9.4, 9.5 y 10.1 permite que atacantes remotos exploten análisis inseguro de XML. Los vectores de ataque incluyen expansión de entidades XML para denegación de servicio y referencias de entidades externas para divulgación de información; no se requiere autenticación. El impacto incluye acceso no autorizado a archivos sensibles y agotamiento de recursos del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
HCL Workload Automation 9.4, 9.5, and 10.1 are vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Productos afectados
HCL Software · Workload Automation¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →