CVE-2022-21949
Multiple XXE vulnerabilities in OBS
Em resumo
O OBS possui uma vulnerabilidade que permite a invasores inserir código XML malicioso para ler arquivos sensíveis do servidor. Essas informações podem então ser usadas para obter acesso de administrador ao sistema OBS.
Detalhe técnico
Vulnerabilidade de XML External Entity (XXE) no OBS permite que invasores remotos façam referência a entidades externas no processamento de XML, possibilitando divulgação arbitrária de arquivos. A exploração requer a capacidade de enviar entrada XML especialmente elaborada para endpoints vulneráveis; o sucesso pode levar à divulgação de informações que facilita escalação de privilégio para nível de administrador.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A Improper Restriction of XML External Entity Reference vulnerability in SUSE Open Build Service allows remote attackers to reference external entities in certain operations. This can be used to gain information from the server that can be abused to escalate to Admin privileges on OBS. This issue affects: SUSE Open Build Service Open Build Service versions prior to 2.10.13.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
SUSE · Open Build ServiceQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →