Тип ошибки:
CWE-611: Improper Restriction of XML External Entity Reference
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N
- Уровень критичности уязвимости (CVSSv4.0): 9.2 (Critical)
Описание уязвимости:
В FastReport.NET была выявлена проблема, затрагивающая версию 2024.2.20.
Обнаруженная уязвимость, из-за возможности внедрения и раскрытия внешних сущностей, может быть использована злоумышленником для чтения произвольных локальных файлов и выполнения подделки запросов от имени сервера (Server‑Side Request Forgery) с полным получением ответа.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 04.07.2025
Рекомендации:
- Обновление до версии 2025.2.6 или выше
Прочая информация: Release notes
Исследователь: Дмитрий Прохоров (Positive Technologies)
Идентификаторы:
BDU:2025-08867
Вендор:
Fast Reports Inc.
Уязвимый продукт:
FastReport.NET
Уязвимые версии:
2024.2.20