Pachno 1.0.6 zawiera podatność XML External Entity Injection (XXE) w komponencie TextParser, która pozwala nieuwierzytelnionemu atakującemu na odczyt dowolnych plików z serwera. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Pachno 1.0.6 contains an XML external entity injection vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting unsafe XML parsing in the TextParser helper. Attackers can inject malicious XML entities through wiki table syntax and inline tags in issue descriptions, comments, and wiki articles to trigger entity resolution via simplexml_load_string() without LIBXML_NONET restrictions.
Podatność wynika z niebezpiecznego parsowania XML w klasie pomocniczej TextParser, która wywołuje funkcję simplexml_load_string() bez flagi LIBXML_NONET, co umożliwia rozwiązywanie zewnętrznych encji XML. Atakujący może wstrzyknąć złośliwe encje XML poprzez składnię tabel wiki oraz tagi inline umieszczone w opisach zgłoszeń (issues), komentarzach lub artykułach wiki. Po przetworzeniu złośliwego dokumentu XML przez parser serwer rozwiązuje zewnętrzne encje i ujawnia zawartość lokalnych plików systemowych.
Atakujący bez jakiegokolwiek uwierzytelnienia może odczytać dowolne pliki dostępne dla procesu serwera WWW, w tym pliki konfiguracyjne zawierające dane uwierzytelniające, klucze prywatne lub inne wrażliwe informacje. Skuteczne wykorzystanie podatności może prowadzić do dalszego kompromitowania systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście tymczasowe zaleca się ograniczenie dostępu do interfejsu Pachno wyłącznie do zaufanych użytkowników oraz upewnienie się, że konfiguracja serwera minimalizuje uprawnienia procesu PHP do systemu plików.
Pachno w wersji 1.0.6
Podatność została udokumentowana przez ZeroScience Lab jako ZSL-2026-5984. Atak nie wymaga uwierzytelnienia (PR:N) ani interakcji użytkownika (UI:N), co znacząco obniża próg wejścia dla potencjalnych atakujących.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X