CVE-2023-28008
HCL Workload Automation is vulnerable to XML External Entity (XXE) Injection
Em resumo
O HCL Workload Automation processa arquivos XML de forma insegura, permitindo que atacantes leiam dados confidenciais ou causem indisponibilidade injetando código XML malicioso. O software não valida adequadamente as entidades externas em documentos XML.
Detalhe técnico
Vulnerabilidade de injeção XXE no HCL Workload Automation 9.4, 9.5 e 10.1 permite que atacantes remotos explorem análise insegura de XML. Os vetores de ataque incluem expansão de entidades XML para negação de serviço e referências de entidades externas para divulgação de informações; nenhuma autenticação é necessária. O impacto inclui acesso não autorizado a arquivos sensíveis e esgotamento de recursos do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
HCL Workload Automation 9.4, 9.5, and 10.1 are vulnerable to an XML External Entity Injection (XXE) attack when processing XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
Produtos afetados
HCL Software · Workload AutomationQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →