V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2022-46751
CVE
Высокий

Уязвимость 'Неправильное ограничение XML внешней сущности' (XML Injection, также известная как Blind XPath Injection) в Apache Software Fou…

CVSS
8.2
Высокий
EPSS
0.02
p76
Опубликовано
2022-01-01
Обновлено
2022-01-01
Описание

Уязвимость 'Неправильное ограничение XML внешней сущности' (XML Injection, также известная как Blind XPath Injection) в Apache Software Foundation Apache Ivy. Эта проблема затрагивает любую версию Apache Ivy до 2.5.2. Когда Apache Ivy до 2.5.2 анализирует XML файлы - либо свою собственную конфигурацию, файлы Ivy или POM-файлы Apache Maven - он позволит загружать внешние определения типов документов и развивать любые ссылки на сущности, содержащиеся в них при использовании. Это может быть использовано для эксфильтрации данных, доступа к ресурсам, к которым имеет доступ только машина, на которой работает Ivy, или для нарушения выполнения Ivy различными способами. Начиная с Ivy 2.5.2, обработка DTD отключена по умолчанию, за исключением случаев, когда анализируются POM-файлы Maven, где по умолчанию разрешена обработка DTD, но только для включения фрагмента DTD, поставляемого с Ivy, который необходим для работы с существующими POM-файлами Maven, которые не являются действительными XML-файлами, но все же принимаются Maven. Доступ может быть сделан более терпимым через недавно введенные системные параметры, где это необходимо. Пользователи Ivy до версии 2.5.2 могут использовать системные свойства Java для ограничения обработки внешних DTD, см. раздел о "Свойствах JAXP для ограничений внешнего доступа" в руководстве по безопасности "Java API для XML Processing (JAXP)" от Oracle.

Теги · CWE
Без аутентификации
CWE-611
CWE-91
CAPEC-83
CAPEC-221
CAPEC-250
Затронутые продукты
Ivy < 2.5.2
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
Хронология
2022-01-01
Опубликована
2022-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: L
Низкое (L)
Индикаторы эксплуатации
EPSS
0.018 · p76
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
ivy*Отслеживается
Источники данных
CVE
Связанные уязвимости