Katalog CVE

CVE-2026-12993

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

W Apicurio Registry wykryto podatność polegającą na tym, że DocumentBuilderAccessor blokuje zewnętrzne DTD i schematy, ale nie wyłącza deklaracji DOCTYPE ani nie włącza FEATURE_SECURE_PROCESSING. Osoba atakująca z uprawnieniami do zapisu artefaktów może przesłać dokumenty XML z ładunkami wewnętrznej ekspansji encji (wariant billion-laughs), co prowadzi do wyczerpania CPU i pamięci, częściowo ograniczone przez domyślny limit 64 000 ekspansji encji w JAXP.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku typu XML Entity Expansion (billion-laughs), który może spowodować odmowę usługi (DoS) poprzez wyczerpanie zasobów CPU i pamięci serwera, co wpływa na dostępność systemu.

Rekomendacja

Należy zaktualizować Apicurio Registry do wersji, w której podatność została załatana, lub ręcznie skonfigurować DocumentBuilderFactory, aby wyłączyć DOCTYPE i włączyć FEATURE_SECURE_PROCESSING.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in Apicurio Registry. The DocumentBuilderAccessor correctly blocks external DTD and schema access but does not disable DOCTYPE declarations or enable FEATURE_SECURE_PROCESSING. An attacker with artifact-write permission can upload XML documents with internal entity-expansion payloads (billion-laughs variant) that cause CPU and heap exhaustion, partially mitigated by the JAXP default 64,000 entity-expansion limit.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS