Feedgen (feedgen de python) avant 0.9.0 est sensible à XML des attaques par déni de service. Le * feedgen * bibliothèque permet la fourniture XML en tant que contenu pour certains des champs disponibles. Ce fichier XML sera analysé et intégré dans l’arborescence XML existant. Au cours de ce processus, feedgen est vulnérable à XML Les attaques de déni de service (par exemple Bomb XML). Cela devient une préoccupation en particulier si feedgen est utilisé pour inclure du contenu provenant de sources untrused et si XML (y compris XHTML) est directement inclus au lieu de fournir uniquement le contenu tex plaine. Ce problème a été corrigé dans feedgen 0.9.0 qui interdit l’expansion de l’entité XML et des ressources externes.
https://github.com/lkiesow/python-feedgen/security/advisories/GHSA-g8q7-xv52-hf9f
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/T6I5ENUYGFNMIH6ZQ62FZ6VU2WD3SIOI/
https://docs.microsoft.com/en-us/archive/msdn-magazine/2009/november/xml-denial-of-service-attacks-and-defenses
https://github.com/lkiesow/python-feedgen/commit/f57a01b20fa4aaaeccfa417f28e66b4084b9d0cf
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5227
