Security Advisory
XML External Entity (XXE) Injection in TwelveMonkeys ImageIO
Angreifer können über manipulierte XMP-Metadaten eine XML External Entity (XXE) Schwachstelle ausnutzen.
CVE: CVE-2021-23792
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Kritikalität: medium
Betroffene Versionen: < 3.7.1
Behoben in: ≥ 3.7.1
Gefunden von: Timo Müller
Produktbeschreibung (englisch)
TwelveMonkeys ImageIO provides extended image file format support for the Java platform, through plugins for the javax.imageio.*
package.
The main goal of this project is to provide support for formats not covered by the JRE itself. Support for these formats is important, to be able to read data found “in the wild”, as well as to maintain access to data in legacy formats. As there is lots of legacy data out there, we see the need for open implementations of readers for popular formats.
Details
Betroffene Versionen dieses Bibliothek sind für XML External Entity (XXE) Injection aufgrund eines unsicher initialisierten XML-Parsers zum Lesen von XMP-Metadaten anfällig.
Angreifer können diese Schwachstelle ausnutzen, wenn es ihnen gelingt eine Datei (z.B. bei der Verarbeitung eines Online-Profilbildes) mit einem entsprechend manipulierten XMP-Segment zu versehen. Das Ausnutzen der Schwachstelle ist möglich, wenn die XMP-Metadaten des hochgeladenen Bildes geparst werden.
Coordinated Disclosure Zeitverlauf
- 07/12/2021 Die Schwachstelle wurde an den Dienstleister Synk gemeldet, welche den Disclosure Prozess übernehmen und eine CVE vergeben.
- 10/12/2021 GitHub Commit mit Code zur Behebung der Schwachstelle.
- 13/12/2021 Veröffentlichung.