【漏洞通告】Apache Jena XML外部实体注入漏洞(CVE-2022-28890 )

admin 2022年5月15日01:53:28评论57 views字数 787阅读2分37秒阅读模式

【漏洞通告】Apache Jena XML外部实体注入漏洞(CVE-2022-28890 )


漏洞名称

Apache Jena XML外部实体注入漏洞

组件名称

Apache Jena

影响范围

Apache Jena 4.4.0

Apache Jena ≤ 4.1.0

漏洞类型

代码注入

利用条件

1、用户认证:未知

2、前置条件:未知

3、触发方式:未知


漏洞分析
01
组件介绍

Apache Jena是一个 Java 工具箱,用于开发基于 RDF 与 OWL 语义(semantic)的 Web 应用程序。


02
漏洞描述

      该漏洞是由于 RDF/XML 解析器中用户提供的 XML 输入的验证不充分而存在。远程攻击者可以将特制的 XML 代码传递给受影响的应用程序并查看系统上任意文件的内容或向外部系统发起请求。成功利用该漏洞可能允许攻击者查看服务器上任意文件的内容或对内部和外部基础设施进行网络扫描。


修复建议
01
官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://jena.apache.org/download/index.cgi



02
临时修复建议

1、及时更新防火墙策略。

2、如无必要,禁止主机外连。

3、加强等级保护相关合规工作。

4、及时更新安全补丁。


声明
      本安全公告仅用来描述可能存在的安全问题,云科攻防实验室不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,云科攻防实验室以及安全公告作者不为此承担任何责任。            
      云科攻防实验室拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经云科攻防实验室允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

【漏洞通告】Apache Jena XML外部实体注入漏洞(CVE-2022-28890 )

原文始发于微信公众号(云科攻防实验室):【漏洞通告】Apache Jena XML外部实体注入漏洞(CVE-2022-28890 )

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月15日01:53:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Apache Jena XML外部实体注入漏洞(CVE-2022-28890 )http://cn-sec.com/archives/1004855.html

发表评论

匿名网友 填写信息