【中危】Apache Ivy<2.5.2 存在XXE漏洞 (CVE-2022-46751)

于 2023-08-22 18:12:53 发布
阅读量1.2k 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: apache 网络安全 漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/132430154
版权

墨知 - 软件供应链安全技术社区

漏洞描述

Apache Ivy 是一个管理基于 ANT 项目依赖关系的开源工具,文档类型定义(DTD)是一种文档类型定义语言,它用于定义XML文档中所包含的元素以及元素之间的关系。

Apache Ivy 2.5.2之前版本中,当解析自身配置、Ivy 文件或 Apache Maven 的 POM 文件时允许下载外部DTD并加载其中包含的任何实体引用,当 Apache Ivy 解析的XML文件由攻击者可控时,攻击者可利用 XXE 获取目标主机上 Apache Ivy 有权访问的任意文件。

漏洞名称Apache Ivy<2.5.2 存在XXE漏洞
漏洞类型输入验证不恰当
发现时间2023/8/21
漏洞影响广度极小
MPS编号MPS-2022-67125
CVE编号CVE-2022-46751
CNVD编号-

影响范围

org.apache.ivy:ivy@[2.0.0-beta1, 2.5.2)

修复方案

升级org.apache.ivy:ivy到 2.5.2 或更高版本

将 javax.xml.accessExternalDTD 设置成空字符串禁止外部实体引用的访问,具体请参考:https://docs.oracle.com/en/java/javase/13/docs/api/java.xml/javax/xml/XMLConstants.html#ACCESS_EXTERNAL_DTD

官方已发布补丁:https://github.com/apache/ant-ivy/commit/2be17bc18b0e1d4123007d579e43ba1a4b6fab3d

参考链接

https://zhi.oscs1024.com/4905.html

https://www.oscs1024.com/hd/MPS-2022-67125

https://nvd.nist.gov/vuln/detail/CVE-2022-46751

https://lists.apache.org/thread/9gcz4xrsn8c7o9gb377xfzvkb8jltffr

https://github.com/apache/ant-ivy/commit/2be17bc18b0e1d4123007d579e43ba1a4b6fab3d

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj

在这里插入图片描述

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
maven-install-plugin-2.5.2.jar
01-15
maven-install-plugin-2.5.2.jar
Apache Ivy实现项目里的依赖管理
热门推荐
Intelligent Web
05-11 2万+
Apache Ivy是一个管理项目依赖的工具。它与Maven Apache Maven 构建管理和项目管理工具已经吸引了 Java 开发人员的注意。Maven 引入了 JAR 文件公共存储库的概念,可通过公开的 Web 服务器访问(称为 ibiblio)。Maven 的方法减少了 JAR 文件膨胀的情况,不会占用大多数版本控制存储库。但使用 Maven 时,它会鼓励您采用其 “惯例优于配置” 的方法来构建软件,这会制约您定制构建脚本的灵活性。 但问题是Maven过于Heavy,而大部分已有的项目都用An
smali-2.5.2.jar
03-28
[jar包下载,包含:smali-2.5.2.jar 和baksmali,jar下载 ](https://bitbucket.org/JesusFreke/smali/downloads/) #### 使用文档 [.odex文件的反编译 - 0x01 odex转dex - 0x02 反编译APK]...
apache-ivy
11-23
标题的"apache-ivy"指的是Apache组织下的Ivy项目,这是一个专门处理项目依赖的子项目。"bin zip 2.2"表示这是Ivy的二进制版本,以ZIP格式打包,版本号为2.2。这个版本发布于较早的时期,但依然对理解Ivy的基本概念...
apache-cxf-2.5.2
10-31
这个"apache-cxf-2.5.2"版本是该框架的一个特定发行版,发布于2011年,包含了CXF框架的所有组件和依赖项,供开发者在他们的项目使用。 Apache CXF的主要特性包括: 1. **Web服务实现**:CXF允许开发者使用JAX-WS...
ksoap2-android-assembly-2.5.2-jar-with-dependencies
09-18
KSOAP2-android-assembly-2.5.2-jar-with-dependencies.jar文件包含了KSOAP2库的所有依赖,开发者可以直接将其导入到Android项目,无需关心其他依赖问题。这个版本的KSOAP2已经集成了所有必要的组件,方便开发者...
checker-compat-qual-2.5.2-API文档-英对照版.zip
05-03
赠送原API文档:checker-compat-qual-2.5.2-javadoc.jar; 赠送源代码:checker-compat-qual-2.5.2-sources.jar; 赠送Maven依赖信息文件:checker-compat-qual-2.5.2.pom; 包含翻译后的API文档:checker-compat-...
ffmpeg-2.5.2-win64-dev.7z
08-22
FFmpeg version: 2.5.2 libavutil 54. 15.100 / 54. 15.100 libavcodec 56. 13.100 / 56. 13.100 libavformat 56. 15.102 / 56. 15.102 libavdevice 56. 3.100 / 56. 3.100 libavfilter 5. 2.103 / 5. 2.103 ...
dnnl-2.5.2-1.5.7-API文档-文版.zip
07-06
赠送jar包:dnnl-2.5.2-1.5.7.jar; 赠送原API文档:dnnl-2.5.2-1.5.7-javadoc.jar; 赠送源代码:dnnl-2.5.2-1.5.7-sources.jar; 赠送Maven依赖信息文件:dnnl-2.5.2-1.5.7.pom; 包含翻译后的API文档:dnnl-2.5.2...
checker-qual-2.5.2-API文档-文版.zip
06-05
赠送原API文档:checker-qual-2.5.2-javadoc.jar; 赠送源代码:checker-qual-2.5.2-sources.jar; 赠送Maven依赖信息文件:checker-qual-2.5.2.pom; 包含翻译后的API文档:checker-qual-2.5.2-javadoc-API文档-...
checker-compat-qual-2.5.2-API文档-文版.zip
05-09
赠送原API文档:checker-compat-qual-2.5.2-javadoc.jar; 赠送源代码:checker-compat-qual-2.5.2-sources.jar; 赠送Maven依赖信息文件:checker-compat-qual-2.5.2.pom; 包含翻译后的API文档:checker-compat-...
apktool,baksmali-2.5.2,smali-2.5.2
06-11
标题和描述提到的"apktool", "baksmali-2.5.2"以及"smali-2.5.2"是安卓应用逆向工程的关键工具,主要用于APK文件的解包、反编译和打包。这些工具有助于开发者理解APK的内部结构,调试代码,或者进行安全分析。 ...
tesserocr-2.5.2-cp37-cp37m-win_amd64
07-11
tesseract 4.1.1
hadoop-2.5.2.tar.gz
02-13
Hadoop是Apache软件基金会开发的一个开源分布式计算框架,它的核心设计目标是处理和存储大规模数据。这个名为“hadoop-2.5.2.tar.gz”的压缩包文件包含了Hadoop 2.5.2版本的所有源代码、二进制文件、配置文件以及...
beetl-2.5.2-API文档-文版.zip
06-04
赠送原API文档:beetl-2.5.2-javadoc.jar; 赠送源代码:beetl-2.5.2-sources.jar; 赠送Maven依赖信息文件:beetl-2.5.2.pom; 包含翻译后的API文档:beetl-2.5.2-javadoc-API文档-文(简体)版.zip; Maven坐标:...
picasso-2.5.2.zip
04-12
《Picasso库详解:2.5.2版本的深度解析》 Picasso是Square公司开发的一个强大的图片加载库,主要用于Android应用。2.5.2版本是Picasso的一个稳定版本,提供了许多实用功能和优化,使得图片的加载、缓存和显示变得...
AA_stat-2.5.2-py3-none-any.whl.zip
04-08
标题 "AA_stat-2.5.2-py3-none-any.whl.zip" 暗示了这是一个Python软件包,名为AA_stat,版本为2.5.2,它被打包成一个`.whl`文件,这是一种预编译的Python轮子(Wheel)格式,用于简化安装过程。`py3-none-any`表明...
ffmpeg-2.5.2-win32-dev
01-16
标题的 "ffmpeg-2.5.2-win32-dev" 指的是 FFmpeg 的一个特定版本,即 2.5.2 版本,专为 Windows 32 位系统提供的开发版本。这个版本可能包含了源代码、头文件、库文件以及构建工具,以便开发者在 Windows 平台上...
snappy-2.5.2-py3.6-linux-x86_64.egg
最新发布
05-22
Python库是一组预先...例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示更有效地传达信息。
org.apache.maven.plugins:maven-install-plugin:2.5.2
12-28
org.apache.maven.plugins:maven-install-plugin:2.5.2是一个Maven插件,用于将本地文件安装到本地仓库。它可以通过以下命令来使用: ```shell mvn org.apache.maven.plugins:maven-install-plugin:2.5.2:install ``` 该命令将执行maven-install-plugin插件的install目标,并将构建产物安装到本地仓库。在执行该命令时,你需要提供一些参数,例如文件路径、groupId、artifactId、version和packaging等。 然而,根据引用的错误信息,可能会出现构建产物未分配文件的情况。这可能是由于构建过程出现了错误或配置问题导致的。你可以检查一下你的项目配置和构建过程,确保所有必要的文件都正确分配给了构建产物。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值