CRITICAL🇬🇧 English

CVE-2026-40042

Pachno 1.0.6 — XXE umożliwiające odczyt dowolnych plików bez uwierzytelnienia

CVSS 9.3v4.0pub. 2026-04-13upd. 2026-04-17

Pachno 1.0.6 zawiera podatność XML External Entity Injection (XXE) w komponencie TextParser, która pozwala nieuwierzytelnionemu atakującemu na odczyt dowolnych plików z serwera. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Pachno 1.0.6 contains an XML external entity injection vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting unsafe XML parsing in the TextParser helper. Attackers can inject malicious XML entities through wiki table syntax and inline tags in issue descriptions, comments, and wiki articles to trigger entity resolution via simplexml_load_string() without LIBXML_NONET restrictions.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznego parsowania XML w klasie pomocniczej TextParser, która wywołuje funkcję simplexml_load_string() bez flagi LIBXML_NONET, co umożliwia rozwiązywanie zewnętrznych encji XML. Atakujący może wstrzyknąć złośliwe encje XML poprzez składnię tabel wiki oraz tagi inline umieszczone w opisach zgłoszeń (issues), komentarzach lub artykułach wiki. Po przetworzeniu złośliwego dokumentu XML przez parser serwer rozwiązuje zewnętrzne encje i ujawnia zawartość lokalnych plików systemowych.

Skutki

Atakujący bez jakiegokolwiek uwierzytelnienia może odczytać dowolne pliki dostępne dla procesu serwera WWW, w tym pliki konfiguracyjne zawierające dane uwierzytelniające, klucze prywatne lub inne wrażliwe informacje. Skuteczne wykorzystanie podatności może prowadzić do dalszego kompromitowania systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście tymczasowe zaleca się ograniczenie dostępu do interfejsu Pachno wyłącznie do zaufanych użytkowników oraz upewnienie się, że konfiguracja serwera minimalizuje uprawnienia procesu PHP do systemu plików.

Kogo dotyczy

Pachno w wersji 1.0.6

Uwagi

Podatność została udokumentowana przez ZeroScience Lab jako ZSL-2026-5984. Atak nie wymaga uwierzytelnienia (PR:N) ani interakcji użytkownika (UI:N), co znacząco obniża próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassXXE
CWE
Referencje