【中危】Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)

已于 2023-08-25 15:19:37 修改
阅读量1.5k 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: apache 网络安全 漏洞 安全
于 2023-08-25 15:17:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/132495633
版权
https://zhi.oscs1024.com/
zhi.oscs1024.com​​​​​
漏洞类型SSRF发现时间2023-08-23漏洞等级中危
MPS编号MPS-2022-63578CVE编号CVE-2022-44729漏洞影响广度极小

漏洞危害

OSCS 描述
Apache XML Graphics Batik 是一个开源的、用于处理可缩放矢量图形(SVG)格式图像的工具库。
受影响版本中,由于 SVGAbstractTranscoder 类未对加载的外部资源进行过滤,当加载攻击者可控的恶意 SVG 文件时会默认触发加载外部资源,从而导致资源消耗或信息泄露。
参考链接:https://www.oscs1024.com/hd/MPS-2022-63578
Apache Pony Mail 描述
默认阻止加载外部资源
参考链接:https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围处置方式处置方法
org.apache.xmlgraphics:batik-bridge [1.6.1, 1.17)更新升级org.apache.xmlgraphics:batik-bridge到 1.17 或更高版本
缓解措施避免加载不受信任的 SVG 文件
补丁官方已发布补丁:http://svn.apache.org/viewvc?view=revision&revision=1905049
org.apache.xmlgraphics:batik-svgrasterizer [1.9, 1.17)更新升级org.apache.xmlgraphics:batik-svgrasterizer到 1.17 或更高版本
org.apache.xmlgraphics:batik-transcoder [1.6.1, 1.17)更新升级org.apache.xmlgraphics:batik-transcoder到 1.17 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2022-63578

Apache Pony Mail 平台影响范围和处置方案

影响范围处置方式处置方法
Batik 1.0 – 1.16缓解措施用户应升级到 Batik 1.17

参考链接:https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2

排查方式

方式1:使用漏洞检测CLI工具来排查

使用文档:CLI客户端 | 墨菲安全文档

方式2:使用漏洞检测IDEA插件排查

使用文档:JetBrains IDE | 墨菲安全文档

方式3:接入GitLab进行漏洞检测排查

使用文档:GitLab | 墨菲安全文档

更多排查方式:关于集成能力 | 墨菲安全文档

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行业动态:行业动态_墨知 (oscs1024.com)
  4. 行业研究:行业研究_墨知 (oscs1024.com)
  5. 工具推荐:工具推荐_墨知 (oscs1024.com)
  6. 最佳实践:最佳实践_墨知 (oscs1024.com)
  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:https://zhi.oscs1024.com/

原文来自:https://zhi.oscs1024.com/5174.html

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xmlgraphics-commons:Apache XML Graphics Commons的镜像
02-06
8. **与其他Apache项目的整合**:由于Apache的开源特性,XMLGraphics Commons可以很好地与Apache FOP(用于生成PDF)、Apache Batik(SVG渲染引擎)等项目配合使用,扩展其功能。 9. **版本控制**:“trunk”分支...
batik-1.13.rar
06-29
BatikApache软件基金会开发的一个开源项目,主要目标是提供一套完整的SVG(Scalable Vector Graphics)处理工具集。SVG是一种基于XML的矢量图像格式,它可以被用于创建高质量、可缩放的图形,适用于Web和其他领域...
CVE-2022-37969 Windows CLFS 本地权限提升 PoC
【Rainbow Network Technology co., LTD】
08-22 320
CVE-2022-37969 是通用日志文件系统驱动 clfs 中的越界写入漏洞,通过该漏洞可以完成提权。
Hutool证书验证漏洞 CVE-2022-22885
INSBUG的博客
08-25 504
修复后,如下图所示,在执行Https请求时,程序会自动校验hostname和从证书获取的主体名称。如此就不会遭受证书域名不匹配的不安全站点的攻击。该漏洞产生的原因在于Hutool HttpUtil的setInfo函数传入的hostNameVerfier默认的为TRUST_ANY_HOSTNAME_VERIFIER。若泄露的信息涉及密钥等可供验证的内容,会导致密钥对应设备被入侵。该库的HttpRequest类默认的HostnameVerifier信任所有的hostname,并不对服务器证书进行校验。
Web Based Quiz System SQL注入---CVE-2022-32991
m0_62959190的博客
08-24 135
很基础的sql注入,也是使用很基础SQL语句,在做这一题的时候没必要使用sqlmap跑了。所以在做题时,要灵活,不要只盯着一个点,多探测几个点总是好的。转移注意,页面内容有start按键,尝试按一下,出现新的页面。在url中有一个参数n,点击submit键参数n就变一下。尝试很多次想在参数q后面进行探测是否有漏洞,结果不行。出现报错,继续order by 一下。注册登录进来,页面如下。
Gin-Vue-Admin 跨站点脚本漏洞分析
afeng12345678的博客
08-24 390
Gin-Vue-Admin 跨站点脚本漏洞深入分析。分析文章为本人原创,转载请注明出处。
JWT分析
GalaxySpaceX的博客
08-24 175
JWT分析
无胁科技-TVD每日漏洞情报-2022-11-2
wuthreat无胁科技的博客
11-04 690
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞名称:spring-security-oauth2-client 权限提升漏洞
最新CS RCE(CVE-2022-39197)复现心得分享
C20220511的博客
10-18 2605
这个漏洞号称是脚本小子杀手,喜欢用CS的朋友们瑟瑟发抖。复现这个漏洞也是一个很有意思的事情,让我学到了很多关于Swing和SVG的知识,这篇文章也希望能帮助大家对此类漏洞的调试、复现等过程有更深入的理解。
Apache 文件解析漏洞SSRF漏洞原理介绍及代码
qq_49433473的博客
05-30 1247
Apache 文件解析漏洞 SSRF漏洞原理介绍及代码 1. Apache 环境简介 2. Apache 解析漏洞介绍 3. 解析漏洞利用演示 4.利用场景介绍 1. Apache 环境简介 ​ Apache 和 PHP 采用 module 的方式结合(Apache2.2) 2. Apache解析漏洞介绍 ​ Apache 认为一个文件夹可以拥有多个扩展名,哪怕没有文件名,也可以拥有多个扩展名。 Apache 认为应该从右边到左开始判断解析方法的。如果最右侧的拓展名为不可识
CVE-2020-11978)Airflow dag中的命令注入漏洞复现【vulhub靶场】
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-18 3247
Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。基于vulhub靶场的CVE-2020-11978漏洞复现,airflow dag中的命令注入RCE和反弹shell教学。漏洞复现。......
org.apache.batik.transcoder-1.6.0.jar
10-24
org.apache.batik.transcoder-1.6.0.jar
batik-awt-util-1.6-1.jar
03-14
官方版本,亲测可用
batik-all-1.8pre-r1084380-sources.jar
03-14
官方版本,亲测可用
Apache功能配置:访问控制、日志分割; 部署AWStats日志分析工具
变成我......
07-10 1233
详细讲解Apache的功能配置(保持连接、访问控制、日志分割)AWStats日志分析工具的部署和操作步骤
Ubuntu系统上安装Apache和WordPress
qq_45026664的博客
07-11 380
ubuntu 安装wordpress环境
TG创建小程序交互APP登录以及机器人信息
qq_38935605的博客
07-12 359
现在请为您的 Web 应用选择一个简称:3-30 个字符,a-zA-Z0-9_。此简称将用于 t.me/TetrisHayDenBot/myapp 等 URL,并作为您的 Web 应用的唯一标识符。编辑命令 : 编辑命令以后机器人对话框旁边会出现菜单,点击菜单可以出现我们编辑d。完成以后会要我们 :现在上传演示 GIF 或发送/empty 以跳过此步骤。命令,选择关联小程序的机器人。我们跳过以后会让我们输入小程序外部链接的https的url。将我们机器人菜单改为自定义按钮。编辑描述 : 机器人的描述。
Apache访问机制配置
最新发布
weixin_48579910的博客
07-14 877
通过掌握Apache的访问控制、认证授权、SSL/TLS配置和虚拟主机配置,可以灵活地管理和保护Web服务器上的资源。合理的配置有助于提高网站的安全性和可用性。
Apache POI Apache Batik XML Graphics Commons maven依赖
06-08
可以在Maven项目中使用以下依赖来使用Apache POI、Apache BatikXML Graphics Commons: ```xml <!-- Apache POI --> <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi</artifactId> <version>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值