一、 漏洞 CVE-2024-55887 基础信息
漏洞标题
Ucum-java在XML解析中存在XXE漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Ucum-java 是一个提供 UCUM 服务的 FHIR Java 库。在 1.0.9 版本之前,由 UcumEssenceService 执行的 XML 解析存在 XML 外部实体注入漏洞。一个包含恶意 DTD 标签的处理 XML 文件可能会产生包含主机系统数据的 XML。这会影响到使用 Ucum 的场景,特别是在主机中外部客户端可以提交 XML 的情况下。Ucum-java 1.0.9 版本修复了此漏洞。作为临时解决方法,确保用于实例化 UcumEssenceService 的源 XML 是可信的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:AIGC 神龙大模型
漏洞标题
Ucum-java has an XXE vulnerability in XML parsing
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Ucum-java is a FHIR Java library providing UCUM Services. In versions prior to 1.0.9, XML parsing performed by the UcumEssenceService is vulnerable to XML external entity injections. A processed XML file with a malicious DTD tag could produce XML containing data from the host system. This impacts use cases where ucum is being used to within a host where external clients can submit XML. Release 1.0.9 of Ucum-java fixes this vulnerability. As a workaround, ensure that the source xml for instantiating UcumEssenceService is trusted.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:美国国家漏洞数据库 NVD
漏洞标题
Ucum-java 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Ucum-java是FHIR开源的一个提供 Ucum 服务的 FHIR Java 库。 Ucum-java 1.0.9之前版本存在代码问题漏洞,该漏洞源于UcumEssenceService执行的XML解析容易受到XML外部实体注入的攻击,导致外部客户端可以提交XML。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-55887 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-55887 的情报信息