【高危漏洞】 fonttools XML存在xxe漏洞

admin

103167
文章

87
评论

2024年1月10日13:12:44评论15 views字数 660阅读2分12秒阅读模式

皓月当空，明镜高悬

文末可体验bugSearch系统哦~

漏洞早知道

漏洞名称：fonttools XML存在xxe漏洞

漏洞出现时间：2024年1月9日

影响等级：高危

漏洞说明：

摘要自`fonttools>=4.28.2`起，子设置模块存在XML外部实体注入（XXE）漏洞，当解析包含SVG表的候选字体（OT-SVG字体）时，攻击者可以解析任意实体。这使攻击者能够包含fontTools正在运行的文件系统中的任意文件，或从主机系统发出web请求。

影响版本：

fonttools>=4.28.2

修复方式：

厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.cnvd.org.cn/patchInfo/show/513761

相关链接：

https://github.com/fonttools/fonttools/releases/tag/4.43.0
http://www.loveli.com.cn:12530/one?hydkid=hydk-1704818721.8379283

最快的威胁情报，最全的漏洞评估

Tips

fontTools是一个用Python编写的用于操作字体的库。该项目包括TTX工具，可以将TrueType和OpenType字体转换为XML文本格式，也被称为TTX。它支持TrueType、OpenType、AFM，并在一定程度上支持Type 1和一些Mac特定的格式。该项目拥有麻省理工学院的开源许可证。

原文始发于微信公众号（皓月当空w）：【高危漏洞】 fonttools XML存在xxe漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

【高危漏洞】 fonttools XML存在xxe漏洞

cve-2024-31848

畅捷通TPlus keyEdit.aspx接口存在SQL注入漏洞

0Day CVE-2023-26615：某路由器密码重置漏洞

速达软件 V.NET home接口处存在RCE漏洞

致远OA移动智能办公平台存在Session敏感信息泄露漏洞

【1day】畅捷通T+ keyEdit.aspx接口处存在SQL注入漏洞

AJ-Report开源数据大屏 verification 远程命令执行漏洞

【漏洞预警】runc <1.2.0-rc.1 systemd属性注入漏洞CVE-2024-3154

Primeton EOS Platform jmx反序列化远程代码执行

ZenTao(禅道)身份认证绕过漏洞 QVD-2024-15263(附工具)

发表评论

在线咨询

微信