veraPDF CLI has potential XXE (XML External Entity Injection) vulnerability — CVE-2024-52800
GHSA · GitHub · CVE-2024-52800
CVE-2024-52800
GHSA
GitHub
low
2.3
0.12493
Résumé
### Impact Executing policy checks using custom schematron files via the CLI invokes an XSL transformation that may theoretically lead to a remote code execution (RCE) vulnerability. ### Patches We are currently working on a patch that will be released when ready. ### Workarounds This doesn't affect the standard validation and policy checks functionality, veraPDF's common use cases. Most veraPDF users don't insert…
Produit
maven: org.verapdf:core | maven: org.verapdf:core-jakarta | maven: org.verapdf:core-arlington | maven: org.verapdf:verapdf-library-jakarta | maven: org.verapdf:verapdf-library-arlington | maven: org.verapdf:verapdf-library | maven: org.verapdf:library | maven: org.verapdf:library-jakarta | +1
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.