Unauthenticated attackers can exploit a weakness in the XML parser functionality of the SOAP endpoints in 4D server. This allows them to obtain read access to files on the application server and adjacent network shares, and perform HTTP GET requests to arbitrary services.
CVE-2024-39847 is an XML External Entity (XXE) injection vulnerability in 4D server's SOAP endpoints that allows unauthenticated attackers to read arbitrary files and perform HTTP requests. This critical flaw affects organizations using 4D server without proper input validation on XML parsing.
ثغرة XXE في نقاط نهاية SOAP بخادم 4D تسمح للمهاجمين غير المصرح لهم باستغلال ضعف في معالج XML. يمكن للمهاجمين قراءة الملفات الحساسة على خادم التطبيق والمشاركات الشبكية المجاورة وإجراء طلبات HTTP عشوائية.
CVE-2024-39847 هو ثغرة حقن XML External Entity في نقاط نهاية SOAP الخاصة بخادم 4D تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية وإجراء طلبات HTTP. تؤثر هذه الثغرة الحرجة على المؤسسات التي تستخدم خادم 4D بدون التحقق المناسب من صحة تحليل XML.
Immediately upgrade 4D server to the latest patched version. Disable SOAP endpoints if not required. Implement strict XML parser configuration to disable external entity processing. Apply network segmentation to restrict access to SOAP endpoints. Monitor and log all SOAP requests for suspicious XXE patterns.
قم بترقية خادم 4D فوراً إلى أحدث إصدار مصحح. عطّل نقاط نهاية SOAP إذا لم تكن مطلوبة. طبّق إعدادات صارمة لمحلل XML لتعطيل معالجة الكيانات الخارجية. طبّق تقسيم الشبكة لتقييد الوصول إلى نقاط نهاية SOAP. راقب وسجّل جميع طلبات SOAP للأنماط المريبة.