veraPDF has potential XSLT injection vulnerability when using policy files — CVE-2024-28109
GHSA · GitHub · CVE-2024-28109
CVE-2024-28109
GHSA
GitHub
high
8.1
0.01159
Zusammenfassung
### Impact Executing policy checks using custom schematron files invokes an XSL transformation that may theoretically lead to a remote code execution (RCE) vulnerability. ### Patches This has been patched and users should upgrade to veraPDF v1.24.2 ### Workarounds This doesn't affect the standard validation and policy checks functionality, veraPDF's common use cases. Most veraPDF users don't insert any custom XSLT…
Produkt
maven: org.verapdf:core | maven: org.verapdf:core-jakarta | maven: org.verapdf:core-arlington | maven: org.verapdf:verapdf-library-arlington | maven: org.verapdf:verapdf-library | maven: org.verapdf:verapdf-library-jakarta | maven: org.verapdf:library-arlington | maven: org.verapdf:library | +1
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.