漏洞标题
N/A
漏洞描述信息
Apache Karaf提供了功能部署器,用户可以通过直接 drops 文件 到 部署目录 的方式,将功能XML进行“快速部署”。功能XML由XMLInputFactory类解析。Apache Karaf XMLInputFactory类未包含任何针对XXE的缓解代码。这是一个潜在的安全风险,因为用户可以在Apache Karaf版本4.1.7或4.2.2之前注入外部XML实体。已在Apache Karaf4.1.7和4.2.2发布中进行修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache Karaf provides a features deployer, which allows users to "hot deploy" a features XML by dropping the file directly in the deploy folder. The features XML is parsed by XMLInputFactory class. Apache Karaf XMLInputFactory class doesn't contain any mitigation codes against XXE. This is a potential security risk as an user can inject external XML entities in Apache Karaf version prior to 4.1.7 or 4.2.2. It has been fixed in Apache Karaf 4.1.7 and 4.2.2 releases.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Karaf 安全漏洞
漏洞描述信息
Apache Karaf是美国阿帕奇(Apache)软件基金会的一款用于部署应用程序和组件的轻量级的OSGi(Java动态化模块化系统)容器。 Apache Karaf 4.1.7之前版本和4.2.2之前版本中存在XML外部实体注入漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
CVSS信息
N/A
漏洞类别
授权问题