【中危】Apache Ivy<2.5.2 存在XXE漏洞 (CVE-2022-46751)
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Apache Ivy是一个管理基于ANT项目依赖关系的开源工具。在Apache Ivy 2.5.2之前的版本中存在XXE漏洞,攻击者可以利用该漏洞获取目标主机上Apache Ivy有权访问的任意文件。修复方案是升级org.apache.ivy:ivy到2.5.2或更高版本,并将javax.xml.accessExternalDTD设置为空字符串以禁止外部实体引用的访问。
🎯
关键要点
- Apache Ivy是一个管理基于ANT项目依赖关系的开源工具。
- Apache Ivy 2.5.2之前的版本存在XXE漏洞,攻击者可获取目标主机上Apache Ivy有权访问的任意文件。
- 漏洞类型为输入验证不恰当,发现时间为2023年8月21日,影响范围为org.apache.ivy:ivy@[2.0.0-beta1, 2.5.2)。
- 修复方案包括升级org.apache.ivy:ivy到2.5.2或更高版本,以及将javax.xml.accessExternalDTD设置为空字符串以禁止外部实体引用的访问。
- 官方已发布补丁,相关链接提供了详细信息。
- 墨菲安全是一家提供软件供应链安全管理的科技公司,提供多种安全管理平台和工具。
➡️
