【中危】Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
漏洞类型:SSRF。Apache XML Graphics Batik是一个开源的处理SVG格式图像的工具库。受影响版本中,加载恶意SVG文件会触发加载外部资源,导致资源消耗或信息泄露。影响范围及处置方案:更新升级相关组件到1.17或更高版本,避免加载不受信任的SVG文件。Apache Pony Mail平台用户应升级到Batik 1.17。
🎯
关键要点
- 漏洞类型:SSRF,发现时间为2023-08-23,漏洞等级中危。
- Apache XML Graphics Batik是一个开源的SVG图像处理工具库,受影响版本存在安全漏洞。
- 攻击者可控的恶意SVG文件会触发加载外部资源,导致资源消耗或信息泄露。
- 影响范围:org.apache.xmlgraphics:batik-bridge、batik-svgrasterizer、batik-transcoder等组件需升级到1.17或更高版本。
- Apache Pony Mail平台用户应升级到Batik 1.17以避免安全风险。
- 排查方式包括使用CLI工具、IDEA插件和接入GitLab进行漏洞检测。
- 墨知是国内首个专注软件供应链安全的技术社区,提供相关专业知识和最佳实践。
- 墨知致力于提高软件供应链安全性,减少供应链攻击风险,保护软件生态系统安全。
➡️
