CRITICAL🇬🇧 English

CVE-2019-19144

XXE Injection w Quantum DXi6702 via endpointu uwierzytelniania REST

CVSS 9.8v3.1pub. 2025-08-01upd. 2026-04-15

Urządzenia Quantum DXi6702 w wersji 2.3.0.3 są podatne na atak XML External Entity Injection (XXE) poprzez endpoint REST służący do uwierzytelniania. Podatność posiada krytyczny poziom CVSS 9.8 i umożliwia zdalne wykorzystanie bez jakiejkolwiek autoryzacji.

Pokaż oryginał (EN)

XML External Entity Injection vulnerability in Quantum DXi6702 2.3.0.3 (11449-53631 Build304) devices via rest/Users?action=authenticate.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP do endpointu rest/Users?action=authenticate zawierające złośliwy dokument XML z odwołaniem do zewnętrznej encji (External Entity). Podatny parser XML przetwarza tę encję bez odpowiednich ograniczeń (CWE-776 — brak ochrony przed rekurencyjnymi odwołaniami do encji), co pozwala atakującemu na kontrolę nad procesem parsowania. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika i jest możliwy zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych (np. plików lokalnego systemu plików urządzenia), a w zależności od konfiguracji środowiska — naruszyć integralność danych lub doprowadzić do niedostępności usługi. Pełny zakres skutków obejmuje naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się ograniczenie dostępu sieciowego do interfejsu REST urządzenia wyłącznie do zaufanych hostów za pomocą firewall lub reguł sieciowych do czasu wdrożenia aktualizacji.

Kogo dotyczy

Urządzenia Quantum DXi6702 w wersji oprogramowania 2.3.0.3 (build 11449-53631 Build304)

Uwagi

Szczegółowe informacje techniczne oraz proof-of-concept zostały opublikowane przez firmę Atredis Partners w ramach publicznego advisory ATREDIS-2019-0004 dostępnego w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XXE
CWE
Referencje
CVE-2019-19144 — XXE Injection w Quantum DXi6702 via endpointu uwierzytelniania REST — CRITICAL 9.8 | CVEbaza.pl