Bio-Formats versions up to and including 8.3.0 contain an XML External Entity (XXE) vulnerability in the Leica Microsystems metadata parsing component (e.g., XLEF). The parser uses an insecurely configured DocumentBuilderFactory when processing Leica XML-based metadata files, allowing external entity expansion and external DTD loading. A crafted metadata file can trigger outbound network requests (SSRF), access local system resources where readable, or cause a denial of service during XML parsing.
Bio-Formats versions up to 8.3.0 contain a critical XML External Entity (XXE) vulnerability in the Leica Microsystems metadata parsing component. The insecurely configured DocumentBuilderFactory allows attackers to craft malicious XML metadata files that can trigger Server-Side Request Forgery (SSRF), access local file systems, or cause denial of service. This affects research institutions, healthcare facilities, and laboratories using microscopy imaging systems.
تتيح هذه الثغرة للمهاجمين استغلال معالج XML غير آمن في مكتبة Bio-Formats المستخدمة على نطاق واسع في معالجة صور المجاهر الطبية والبحثية. من خلال إدراج كيانات XML خارجية ضارة في ملفات البيانات الوصفية لأنظمة Leica، يمكن للمهاجم إجبار النظام على إجراء طلبات شبكة خارجية غير مصرح بها أو قراءة ملفات النظام الحساسة. تشكل هذه الثغرة خطراً كبيراً على سرية البيانات الطبية والبحثية وسلامة الأنظمة المتصلة بالشبكة. يمكن استغلال الثغرة دون الحاجة إلى امتيازات خاصة عند معالجة ملفات البيانات الوصفية الواردة من مصادر غير موثوقة.
تحتوي إصدارات Bio-Formats حتى 8.3.0 على ثغرة حرجة في الكيانات الخارجية لـ XML في مكون تحليل البيانات الوصفية لأنظمة Leica Microsystems. يسمح التكوين غير الآمن لـ DocumentBuilderFactory للمهاجمين بصياغة ملفات بيانات وصفية XML خبيثة يمكنها تنفيذ هجمات انتحال الطلبات من جانب الخادم والوصول إلى أنظمة الملفات المحلية أو التسبب في رفض الخدمة. يؤثر هذا على مؤسسات الأبحاث والمرافق الصحية والمختبرات التي تستخدم أنظمة التصوير المجهري.
1. Immediately inventory all systems using Bio-Formats library versions up to 8.3.0, particularly in microscopy imaging workflows, and restrict processing of XML metadata files from untrusted sources until patching is complete.
2. Implement network segmentation to isolate microscopy and imaging systems from external networks, deploy XML input validation and sanitization at application boundaries, and disable external entity processing in all XML parsers through secure configuration of DocumentBuilderFactory with setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true).
3. Monitor for unusual outbound network connections from imaging systems, establish file integrity monitoring for sensitive research and medical data repositories, and prepare to upgrade to patched Bio-Formats versions immediately upon vendor release while implementing compensating controls including Web Application Firewall rules to block malicious XML patterns.
1. إجراء جرد فوري لجميع الأنظمة التي تستخدم مكتبة Bio-Formats بإصدارات حتى 8.3.0، خاصة في سير عمل التصوير المجهري، وتقييد معالجة ملفات البيانات الوصفية XML من مصادر غير موثوقة حتى اكتمال التصحيح.
2. تنفيذ تجزئة الشبكة لعزل أنظمة المجاهر والتصوير عن الشبكات الخارجية، ونشر التحقق من صحة مدخلات XML وتعقيمها عند حدود التطبيقات، وتعطيل معالجة الكيانات الخارجية في جميع محللات XML من خلال التكوين الآمن لـ DocumentBuilderFactory باستخدام setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true).
3. مراقبة الاتصالات الشبكية الصادرة غير المعتادة من أنظمة التصوير، وإنشاء مراقبة سلامة الملفات لمستودعات البيانات البحثية والطبية الحساسة، والاستعداد للترقية إلى إصدارات Bio-Formats المصححة فور إصدار المورّد مع تنفيذ ضوابط تعويضية تشمل قواعد جدار حماية تطبيقات الويب لحظر أنماط XML الخبيثة.