Уязвимость XXE в KNIME Analytics Platform через обработку файлов .knwf
Описание
В KNIME Analytics Platform до версии 4.5.0 обнаружена уязвимость XXE (внедрение внешних XML-сущностей). Она позволяет злоумышленнику использовать специально созданный файл рабочего процесса (.knwf) для получения доступа к конфиденциальной информации или выполнения других вредоносных действий. Уязвимость обозначена как AP-17730.
Затронутые версии ПО
- KNIME Analytics Platform до релиза 4.5.0
Тип уязвимости
Внедрение XML-сущностей (XXE)
Ссылки
- Third Party Advisory
- Release Notes
- Product
- Third Party Advisory
- Release Notes
- Product
Уязвимые конфигурации
Конфигурация 1Версия до 4.5.0 (исключая)
cpe:2.3:a:knime:knime_analytics_platform:*:*:*:*:*:*:*:*
EPSS
Процентиль: 64%
0.00472
Низкий
4.7 Medium
CVSS3
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-611
Связанные уязвимости
CVSS3: 4.3
github
около 4 лет назад
KNIME Analytics Platform before 4.5.0 is vulnerable to XXE (external XML entity injection) via a crafted workflow file (.knwf), aka AP-17730.
EPSS
Процентиль: 64%
0.00472
Низкий
4.7 Medium
CVSS3
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-611