CVE-2026-40042
KrytyczneStreszczenie
Pachno w wersji 1.0.6 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niebezpiecznego parsowania XML w pomocniku TextParser. Atakujący mogą wstrzykiwać złośliwe jednostki XML za pomocą składni tabel wiki oraz tagów inline w opisach problemów, komentarzach i artykułach wiki.
Ocena ryzyka
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do poufnych danych przechowywanych na serwerze, co może prowadzić do poważnych naruszeń bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Pachno, która eliminuje tę podatność, oraz wdrożenie odpowiednich zabezpieczeń w celu ochrony przed wstrzykiwaniem jednostek XML.
Oryginalny opis (angielski, źródło NVD)
Pachno 1.0.6 contains an XML external entity injection vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting unsafe XML parsing in the TextParser helper. Attackers can inject malicious XML entities through wiki table syntax and inline tags in issue descriptions, comments, and wiki articles to trigger entity resolution via simplexml_load_string() without LIBXML_NONET restrictions.

