漏洞标题
Apache Ivy:Apache Ivy中的XML外部实体漏洞
漏洞描述信息
Apache Software Foundation Apache Ivy中的不适当XML外部实体引用限制,XML注入(又名盲XPath注入)漏洞。此问题影响Apache Ivy的所有版本,直到2.5.2。
当Apache Ivy解析XML文件(无论是其自身的配置、Ivy文件还是Apache Maven POMs)时,如果使用它们,它将允许下载外部文档类型定义并展开其中包含的任何实体引用。
这可以用来窃取数据,访问只有运行Ivy的机器才能访问的资源,或以不同方式干扰Ivy的执行。
从Ivy 2.5.2开始,默认情况下禁用DTD处理,除非解析Maven POMs,其中默认允许DTD处理,但仅限于包含Ivy随附的DTD片段,该片段用于处理现有的Maven POM,这些POM不是有效的XML文件,但仍然被Maven接受。在需要的地方,可以通过引入新的系统属性来放宽访问限制。
Ivy版本2.5.2之前的用户可以使用Java系统属性来限制外部DTD的处理,请参阅Oracle的"Java API for XML Processing (JAXP) Security Guide"中关于"JAXP外部访问限制属性"的部分。
请注意,此漏洞的描述可能已经过时,因为Apache Ivy团队可能会发布新版本来修复此问题。建议立即更新到最新版本,以获得最新的安全修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
Apache Ivy: XML External Entity vulnerability in Apache Ivy
漏洞描述信息
Improper Restriction of XML External Entity Reference, XML Injection (aka Blind XPath Injection) vulnerability in Apache Software Foundation Apache Ivy.This issue affects any version of Apache Ivy prior to 2.5.2.
When Apache Ivy prior to 2.5.2 parses XML files - either its own configuration, Ivy files or Apache Maven POMs - it will allow downloading external document type definitions and expand any entity references contained therein when used.
This can be used to exfiltrate data, access resources only the machine running Ivy has access to or disturb the execution of Ivy in different ways.
Starting with Ivy 2.5.2 DTD processing is disabled by default except when parsing Maven POMs where the default is to allow DTD processing but only to include a DTD snippet shipping with Ivy that is needed to deal with existing Maven POMs that are not valid XML files but are nevertheless accepted by Maven. Access can be be made more lenient via newly introduced system properties where needed.
Users of Ivy prior to version 2.5.2 can use Java system properties to restrict processing of external DTDs, see the section about "JAXP Properties for External Access restrictions" inside Oracle's "Java API for XML Processing (JAXP) Security Guide".
CVSS信息
N/A
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
Apache Ivy 代码问题漏洞
漏洞描述信息
Apache Ivy是美国阿帕奇(Apache)基金会的一个可传递的软件包管理器。 Apache Ivy 2.5.2之前版本存在代码问题漏洞,该漏洞源于XML外部实体引用限制不当。
CVSS信息
N/A
漏洞类别
代码问题