One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8372695 |
| Date de publication | 2023-08-21 07:15:33 (vue: 2023-08-21 11:07:14) |
| Titre | CVE-2022-46751 |
| Texte | Restriction incorrecte de la référence de l'entité externe XML, injection XML (injection AKA aveugle XPATH) dans la Fondation du logiciel Apache Apache IVY. Ce problème affecte toute version d'Apache IVY avant 2.5.2.
Lorsque Apache Ivy avant 2.5.2 Parses Fichiers XML - Ses propres fichiers de configuration, IVY ou APCACH MAVEN POMS - il permettra au téléchargement des définitions de type de documents externes et à l'élargir toutes les références d'entité contenues à celle-ci lors de l'utilisation.
Cela peut être utilisé pour exfiltrer les données, accéder aux ressources que la machine en cours d'exécution a accès ou perturber l'exécution de l'IVY de différentes manières.
En commençant par l'IVY 2.5.2 Le traitement DTD est désactivé par défaut, sauf lors de l'analyse des Poms Maven où la valeur par défaut est de permettre le traitement DTD mais uniquement pour inclure un extrait DTD avec un Ivy qui est nécessaire pour traiter les POM Maven existants qui ne sont pas des fichiers XML validesmais sont néanmoins acceptés par Maven.L'accès peut être rendu plus indulgent via les propriétés du système nouvellement introduites si nécessaire.
Les utilisateurs d'Ivy avant la version 2.5.2 peuvent utiliser les propriétés du système Java pour restreindre le traitement des DTD externes, consultez la section sur "Jaxp Properties for External Access Restrictions" dans le guide de sécurité "Java API pour le traitement XML (JAXP) d'Oracle \\ pour le traitement XML (JAXP)".
Improper Restriction of XML External Entity Reference, XML Injection (aka Blind XPath Injection) vulnerability in Apache Software Foundation Apache Ivy.This issue affects any version of Apache Ivy prior to 2.5.2. When Apache Ivy prior to 2.5.2 parses XML files - either its own configuration, Ivy files or Apache Maven POMs - it will allow downloading external document type definitions and expand any entity references contained therein when used. This can be used to exfiltrate data, access resources only the machine running Ivy has access to or disturb the execution of Ivy in different ways. Starting with Ivy 2.5.2 DTD processing is disabled by default except when parsing Maven POMs where the default is to allow DTD processing but only to include a DTD snippet shipping with Ivy that is needed to deal with existing Maven POMs that are not valid XML files but are nevertheless accepted by Maven. Access can be be made more lenient via newly introduced system properties where needed. Users of Ivy prior to version 2.5.2 can use Java system properties to restrict processing of external DTDs, see the section about "JAXP Properties for External Access restrictions" inside Oracle\'s "Java API for XML Processing (JAXP) Security Guide". |
| Notes | |
| Envoyé | Oui |
| Condensat | 2022 46751 about accepted access affects allow any apache api are blind but can configuration contained cve data deal default definitions different disabled disturb document downloading dtd dtds either entity except execution exfiltrate existing expand external files foundation guide has improper include injection inside introduced issue its ivy java jaxp lenient machine made maven more needed nevertheless newly not only oracle own parses parsing poms prior processing properties reference references resources restrict restriction restrictions running section security see shipping snippet software starting system therein type use used users valid version vulnerability ways when where will xml xpath |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.