漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Apache Camel 中的 XPathBuilder.java 文件存在多个 XML 外部实体(XXE)漏洞,允许远程攻击者通过无效 XML 中的外部实体读取任意文件。此漏洞主要影响 Apache Camel 的特定版本。
## 影响版本
- Apache Camel 2.13.4 之前的版本
- Apache Camel 2.14.x 2.14.2 之前的版本
## 漏洞细节
漏洞存在于 XPathBuilder.java 文件中,具体表现为以下两种情况:
1. 无效 XML 字符串中的外部实体
2. 无效 XML GenericFile 对象中的外部实体
攻击者可以利用这些漏洞通过 XPath 查询中的外部实体读取任意文件。
## 漏洞影响
远程攻击者可以通过构造特殊的 XML 数据,在受影响的版本中读取任意文件,造成信息泄露。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple XML external entity (XXE) vulnerabilities in builder/xml/XPathBuilder.java in Apache Camel before 2.13.4 and 2.14.x before 2.14.2 allow remote attackers to read arbitrary files via an external entity in an invalid XML (1) String or (2) GenericFile object in an XPath query.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Camel XML外部实体漏洞
漏洞描述信息
Apache Camel是美国阿帕奇(Apache)软件基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式,简称EIP)的集成框架。该框架提供企业集成模式的Java对象(POJO)的实现,且通过应用程序接口来配置路由和中介的规则。 Apache Camel 2.13.4之前版本和2.14.2之前2.14.x版本的builder/xml/XPathBuilder.java文件中存在XML外部实体漏洞。远程攻击者可借助Xpath查询中无效的XML String或G
CVSS信息
N/A
漏洞类别
其他