组件介绍

Apache Jena是一个Java类库，是用于开发基于 RDF 与 OWL 语义的Web应用程序。

漏洞描述

近日，深信服安全团队监测到一则Apache Jena存在XML实体注入漏洞的信息，漏洞编号：CVE-2022-28890，漏洞威胁等级：高危。

该漏洞是由于Apache Jena在处理RDF/XML等格式文档内容时，未限定对外部实体的处理，可能导致在接受到一个恶意构造的文件后，执行外部实体中的内容。攻击者可利用该漏洞进行命令执行并可能造成信息泄露。

影响范围

目前受影响的Apache Jena版本：

Apache Jena 4.4.0

Apache Jena ≤ 4.1.0

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://jena.apache.org/download/index.cgi