独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月25日、untangle における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ステラセキュリティ/株式会社アカツキゲームスの小竹泰一氏が報告を行っている。影響を受けるシステムは以下の通り。
untangle 1.2.0 およびそれ以前
Christian Stefanescu が提供するXML 文書を処理するための Python ライブラリ untangle には、下記の複数の脆弱性が存在する。
DTD の再帰的なエンティティ参照の不適切な制限(CVE-2022-33977)
→当該製品が動作しているサーバが、サービス運用妨害(DoS)攻撃を受ける可能性
XML 外部実体参照(XXE)の不適切な制限(CVE-2022-31471)
→第三者によって、ローカルファイルの内容を読み取られる可能性
JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。
