聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞位于 Apache Ivy 2.5.2以下版本中,当解析自身配置 Maven POMs时同时解析 XML 文件时就会触发,可导致外部文档下载和扩展任何实体引用。威胁行动者可利用该 XPath 盲注漏洞以不同方式操纵和执行 Ivy 或访问机器中的敏感信息。该漏洞是因为对XML外部实体引用的限制不当造成的。
Apache Ivy 是一款依赖管理器,负责解析项目依赖且是 Apache Ant 项目的一部分,通过使用 XML 文件定义项目依赖,列出构建项目的必要资源。该漏洞的CVE编号是CVE-2022-46751,CVSS 评分尚未给出。
在 Aapche Ivy 版本2.5.2 之前,Apache Ivy 在解析 Maven POMs 和其它文件时都会进行DTD 处理。不过,新发布的Apache Ivy 2.5.2 版本已为除了 Maven POMs 以外的所有文件禁用了DTD 处理,仅允许包含用于处理现有 Maven POMs 的DTD 片段。
它们并非合法的 XML 文件但获得 Maven POMs 接受。Apache Ivy 是 Apache Ant 项目的一部分,负责自动化源自 Apache Tomcat 项目2000软件构建流程。
建议用户升级至最新版本Apache Ivy 2.5.2 来阻止漏洞遭利用。或者用户可使用 Java 系统属性来限制对外部DTD的处理。
原文始发于微信公众号(代码卫士):Apache Ivy 注入漏洞可导致攻击者提取敏感数据
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论