Injection-Lücke in Kotlin-Toolkit geschlossen
- Warnmeldung
Im Kotlin-Toolkit http4k wurde eine kritische Sicherheitslücke geschlossen. Betroffen sind alle http4k-Versionen bis 5.40.0.0 bzw. 4.49.0.0. Ein veröffentlichter PoC erhöht die Wahrscheinlichkeit einer Ausnutzung. User sollten rasch aktualisieren.
© Adobe Stock
Daten auslesbar und Schadcode ausführbar
Über die geschlossene Schwachstelle können Angreifende unter bestimmten Umständen schützenswerte Daten auslesen oder sogar Schadcode einschleusen und ausführen. Ursache ist eine mögliche XML-Injection. Die Sicherheitslücke besitzt die CVE-Kennung CVE-2024-55875 und hat einen CVSS-Base-Score von 9.8/10. Ein auf GitHub publizierter Proof of Concept (PoC) macht eine Ausnutzung wahrscheinlicher. Mit den Versionen 5.41.0.0 und 4.50.0.0 stehen Patches zur Verfügung.
http4k ist ein HTTP-Toolkit für die Programmiersprache Kotlin.
Empfehlungen
Beachten Sie folgenden Empfehlungen der CSBW:
- Aktualisieren Sie das Kotlin-Toolkit http4k umgehend auf Version 5.41.0.0 bzw. 4.50.0.0.
- Stellen Sie sicher, dass XML-Parser in Ihrer Anwendung so konfiguriert sind, dass externe Entitäten deaktiviert sind.
- Implementieren Sie eine strikte Validierung und Bereinigung aller XML-Eingaben, um die Verarbeitung potenziell schädlicher Daten zu verhindern.
- Führen Sie regelmäßige Code- und Sicherheitsüberprüfungen durch, um ähnliche Schwachstellen frühzeitig zu erkennen und zu beheben.