Apache Jena XML外部实体注入漏洞CVE-2022-28890
日期:2022-05-18 10:42:58  发布人:教育信息化建设处  浏览量:573

组件介绍

Apache Jena是一个Java类库,是用于开发基于 RDF 与 OWL 语义的Web应用程序。

漏洞描述

近日,深信服安全团队监测到一则Apache Jena存在XML实体注入漏洞的信息,漏洞编号:CVE-2022-28890,漏洞威胁等级:高危。

该漏洞是由于Apache Jena在处理RDF/XML等格式文档内容时,未限定对外部实体的处理,可能导致在接受到一个恶意构造的文件后,执行外部实体中的内容。攻击者可利用该漏洞进行命令执行并可能造成信息泄露。

影响范围

目前受影响的Apache Jena版本:

Apache Jena 4.4.0

Apache Jena ≤ 4.1.0

官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://jena.apache.org/download/index.cgi


 

联系电话:023-42464987 重庆人文科技学院信息化建设中心 版权所有