Apache Ivy 注入漏洞可导致攻击者提取敏感数据

9ef40e5b5afbe845e0f8146233e42c40.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache Ivy 中存在一个 XPath 盲注漏洞,可导致攻击者提取数据并访问仅限运行 Apache Ivy 的机器访问的敏感信息。

69b5d2e97755538b4d5aca6414e6aef7.png

该漏洞位于 Apache Ivy 2.5.2以下版本中,当解析自身配置 Maven POMs时同时解析 XML 文件时就会触发,可导致外部文档下载和扩展任何实体引用。威胁行动者可利用该 XPath 盲注漏洞以不同方式操纵和执行 Ivy 或访问机器中的敏感信息。该漏洞是因为对XML外部实体引用的限制不当造成的。

Apache Ivy 是一款依赖管理器,负责解析项目依赖且是 Apache Ant 项目的一部分,通过使用 XML 文件定义项目依赖,列出构建项目的必要资源。该漏洞的CVE编号是CVE-2022-46751,CVSS 评分尚未给出。

Apache Ivy 2.5.2 版本发布

在 Aapche Ivy 版本2.5.2 之前,Apache Ivy 在解析 Maven POMs 和其它文件时都会进行DTD 处理。不过,新发布的Apache Ivy 2.5.2 版本已为除了 Maven POMs 以外的所有文件禁用了DTD 处理,仅允许包含用于处理现有 Maven POMs 的DTD 片段。

它们并非合法的 XML 文件但获得 Maven POMs 接受。Apache Ivy 是 Apache Ant 项目的一部分,负责自动化源自 Apache Tomcat 项目2000软件构建流程。

建议用户升级至最新版本Apache Ivy 2.5.2 来阻止漏洞遭利用。或者用户可使用 Java 系统属性来限制对外部DTD的处理。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

未修复的 Apache Tomcat 服务器传播 Mirai 僵尸网络恶意软件

Apache Jackrabbit 中存在严重的RCE漏洞

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告

在线阅读版:《2023中国软件供应链安全分析报告》全文

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

原文链接

https://gbhackers.com/apache-ivy-injection-flaw/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

f6965c033620d19d3c55306bed627439.jpeg

71897c57f3ea1b4bd7db9a1494e407ca.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   76428806e4d7440f84e5bf4a486e981c.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值