BDU:2025-00486

Опубликовано: 11 дек. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость функционального набора инструментов для приложений Kotlin HTTP http4k связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

http4k

Версия ПО

до 5.41.0.0 (http4k)

до 4.50.0.0 (http4k)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/http4k/http4k/security/advisories/GHSA-7mj5-hjjj-8rgw

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-55875
CVE

EPSS

Процентиль: 90%

0.05141

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-55875

CVSS3: 9.8

nvd

около 1 года назад

http4k is a functional toolkit for Kotlin HTTP applications. Prior to version 5.41.0.0, there is a potential XXE (XML External Entity Injection) vulnerability when http4k handling malicious XML contents within requests, which might allow attackers to read local sensitive information on server, trigger Server-side Request Forgery and even execute code under some circumstances. Version 5.41.0.0 contains a patch for the issue.

GHSA-7mj5-hjjj-8rgw

CVSS3: 9.8

github

около 1 года назад

http4k has a potential XXE (XML External Entity Injection) vulnerability

EPSS

Процентиль: 90%

0.05141

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2