Vulnerabilidad en Kiuwan Local Analyzer (CVE-2023-49110)

Cuando Kiuwan Local Analyzer carga los resultados del escaneo en la aplicación web Kiuwan SAST (ya sea local o en la nube/solución SaaS), los datos transmitidos constan de un archivo ZIP que contiene varios archivos, algunos de ellos en formato de archivo XML. Durante el procesamiento del lado del servidor de estos archivos XML por parte de Kiuwan, resuelve entidades XML externas, lo que resulta en un ataque de inyección de entidades externas XML. Un atacante con privilegios para escanear el código fuente dentro del módulo "Código de seguridad" puede extraer cualquier archivo del sistema operativo con los derechos del usuario del servidor de aplicaciones y potencialmente puede obtener archivos confidenciales, como configuración y contraseñas. Además, esta vulnerabilidad también permite a un atacante iniciar conexiones a sistemas internos, por ejemplo, para escanear puertos o acceder a otras funciones/aplicaciones internas, como la consola de administración Wildfly de Kiuwan. Este problema afecta a Kiuwan SAST: