Bio-Formats versions up to and including 8.3.0 contain an XML External Entity (XXE) vulnerability in the Leica Microsystems metadata parsing component (e.g., XLEF). The parser uses an insecurely configured DocumentBuilderFactory when processing Leica XML-based metadata files, allowing external entity expansion and external DTD loading. A crafted metadata file can trigger outbound network requests (SSRF), access local system resources where readable, or cause a denial of service during XML parsing.
Bio-Formats versions up to 8.3.0 contain an XXE vulnerability in Leica Microsystems metadata parsing that allows external entity expansion and DTD loading. Attackers can exploit this through crafted metadata files to trigger SSRF, access local resources, or cause denial of service.
ثغرة XXE في مكون معالجة بيانات Leica Microsystems بـ Bio-Formats تسمح بتوسيع الكيانات الخارجية وتحميل DTD من مصادر خارجية. يمكن للمهاجمين استغلال هذه الثغرة من خلال ملفات بيانات معدّلة لتنفيذ هجمات SSRF والوصول إلى الموارد المحلية أو إحداث حالة رفض الخدمة.
Bio-Formats versions up to 8.3.0 contain an XXE vulnerability in Leica Microsystems metadata parsing that allows external entity expansion and DTD loading. Attackers can exploit this through crafted metadata files to trigger SSRF, access local resources, or cause denial of service.
Update Bio-Formats to version 8.3.1 or later immediately. Disable external entity processing and DTD loading in DocumentBuilderFactory configurations. Implement input validation for XML metadata files. Restrict network access from systems processing Leica metadata files. Monitor for suspicious outbound connections from affected systems.
قم بتحديث Bio-Formats إلى الإصدار 8.3.1 أو أحدث فوراً. عطّل معالجة الكيانات الخارجية وتحميل DTD في تكوينات DocumentBuilderFactory. طبّق التحقق من صحة مدخلات ملفات بيانات XML. قيّد الوصول إلى الشبكة من الأنظمة التي تعالج ملفات بيانات Leica. راقب الاتصالات الخارجية المريبة من الأنظمة المتأثرة.