漏洞復現 | Apache Jena XML外部實體注入漏洞
0x01
漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 否 未知 未知 |
0x02
漏洞描述
Apache Jena是一個 Java 工具箱,用于開發基于 RDF 與 OWL 語義(semantic)的 Web 應用程序。
2022年5月4日,Apache發布安全公告,修復了一個存在于Apache Jena中的XML外部實體注入漏洞。漏洞編號:CVE-2022-28890,漏洞威脅等級:中危。
Apache Jena XML外部實體注入漏洞
Apache Jena XML外部實體注入漏洞 漏洞編號 CVE-2022-28890 漏洞類型 XML外部實體注入 漏洞等級 中危 公開狀態 未知 在野利用 未知 漏洞描述 該漏洞是由于 RDF/XML 解析器中用戶提供的 XML 輸入的驗證不充分而存在。遠程攻擊者可以將特制的 XML 代碼傳遞給受影響的應用程序并查看系統上任意文件的內容或向外部系統發起請求。 成功利用該漏洞可能允許攻擊者查看服務器上任意文件的內容或對內部和外部基礎設施進行網絡掃描。 |
0x03
漏洞等級
中危
0x04
影響版本
Apache Jena <=4.4.0
0x05
漏洞復現
2022年5月6日,360漏洞云安全專家已第一時間復現上述漏洞(外部平臺收到請求則復現成功),演示如下:
CVE-2022-28890
完整POC代碼已在360漏洞云情報平臺(https://loudongyun.#/)發布,360漏洞云情報平臺用戶可通過平臺下載進行安全自檢。
0x06
修復建議
臨時修復建議:
1、及時更新防火墻策略
2、建議使用360態勢感知,加強監控和防護
3、如無必要,禁止主機外連
4、加強等級保護相關合規工作
5、及時更新安全補丁
官方修復建議:
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:Apache Jena 4.5.0 或更高版本。下載鏈接如下:
https://jena.apache.org/download/index.cgi
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
