CVE-2026-53723

Guzzle Services fornisce un'implementazione della libreria Guzzle Command che utilizza le descrizioni di servizio Guzzle per descrivere i servizi web, serializzare le richieste e analizzare le risposte in strutture di modello facili da usare. Le versioni precedenti alla 1.5.4 non serializzano in modo sicuro i valori scalari degli elementi XML contenenti il terminatore CDATA `]]>`. Il serializzatore di richieste XML scrive i valori contenenti `<`, `>`, o `&` con `XMLWriter::writeCData($value)`. Se l'input controllato dall'attaccante contiene `]]>`, la sezione CDATA si chiude prematuramente e il resto viene interpretato come markup XML. Questo rappresenta un problema di integrità del corpo della richiesta in uscita, non un problema di parsing della risposta. L'attaccante non necessita di controllare la descrizione o lo schema del servizio. Gli utenti sono interessati quando tutte le seguenti condizioni sono vere: l'applicazione utilizza `guzzlehttp/guzzle-services` per serializzare le richieste in uscita; un parametro di richiesta o uno schema `additionalParameters` utilizza `location: xml`; il valore viene serializzato come testo di elemento XML, non come attributo XML; il valore può contenere input controllato dall'attaccante, controllato dall'utente, controllato dal tenant o comunque non affidabile; il valore non è vincolato da un `enum`, `pattern` sicuro o filtro personalizzato che escluda `]]>`; e il servizio downstream analizza strutturalmente l'XML generato e può agire su elementi inattesi, duplicati o iniettati. Le applicazioni che serializzano input non affidabili in parametri di richiesta `location: xml` possono generare XML contenente elementi controllati dall'attaccante al di fuori del nodo di testo previsto. A seconda del servizio ricevente, ciò può alterare la semantica dell'operazione, far passare campi privilegiati, bypassare i confini dei parametri modellati o creare elementi duplicati in conflitto. Le descrizioni di servizio corrette sono sufficienti se contengono un parametro elemento XML popolato da input controllato dall'attaccante. Gli utenti non sono direttamente interessati se utilizzano solo Guzzle Services per deserializzare i corpi delle risposte HTTP. Il parsing XML delle risposte utilizza il visitor di posizione XML della risposta e non invoca il serializzatore XML della richiesta vulnerabile. I corpi delle risposte sono rilevanti solo in un flusso di secondo ordine, come il parsing di XML di risposta controllato dall'attaccante, la memorizzazione o l'inoltro di una stringa analizzata, e il suo successivo utilizzo come parametro di richiesta `location: xml`. Il problema è stato risolto in `1.5.3` e versioni successive mediante la divisione sicura dei terminatori CDATA incorporati prima della serializzazione. La correzione preserva il valore scalare originale come testo XML e previene l'iniezione di nodi. Come soluzione temporanea, vincolare i valori degli elementi XML controllati dall'attaccante con un `enum`, `pattern` rigoroso o filtro personalizzato che escluda `]]>`, o evitare di serializzare dati non affidabili come testo di elemento `location: xml` fino alla patch. Quando appropriato per lo schema del servizio, gli attributi XML non sono interessati perché vengono scritti con le API degli attributi di XMLWriter piuttosto che con sezioni CDATA. Per determinare se è necessario intervenire, cercare nelle descrizioni di servizio i parametri di richiesta che utilizzano `location: xml`, inclusi `parameters` di operazione e `additionalParameters`. I `models` riservati alle risposte non sono direttamente interessati a meno che i valori analizzati non vengano riutilizzati per la serializzazione delle richieste. Per i parametri di oggetto e array, verificare le proprietà scalari annidate perché anche i valori degli elementi foglia possono essere interessati.