Beschreibung

Das Paket com.twelvevemonkeys.imageio:imageio-metadata vor 3.7.1 ist anfällig für XML External Entity (XXE) Injection aufgrund eines unsicher initialisierten XML-Parsers zum Lesen von XMP-Metadaten. Ein Angreifer kann diese Schwachstelle ausnutzen, wenn es ihm gelingt, eine Datei (z. B. bei der Verarbeitung eines Online-Profilbildes) mit einem bösartigen XMP-Segment zu versehen. Wenn die XMP-Metadaten des hochgeladenen Bildes geparst werden, wird die XXE-Schwachstelle ausgelöst.

Referenzen

https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-23792

https://nvd.nist.gov/vuln/detail/cve-2021-23792

https://www.cvedetails.com/cve/cve-2021-23792/

https://www.tenable.com/cve/cve-2021-23792

https://vulmon.com/searchpage?q=cve-2021-23792

https://vulners.com/ubuntucve/UB:cve-2021-23792

Zurück zur Übersicht