{
}
Lỗ hổng có mã định danh CVE-2022-46751, chưa có điểm CVSS. Nguyên nhân gây ra lỗ hổng do Ivy cho phép xử lý định nghĩa loại tài liệu bên ngoài (DTD) khi phân tích các tệp XML.
DTD (document type definitions) là một thành phần tạo nên văn bản XML, có vai trò định nghĩa cấu trúc các phần tử và thuộc tính xuất hiện trong XML. Khai thác thành công lỗ hổng, kẻ tấn công có thể:
- Đánh cắp dữ liệu nhạy cảm
- Truy cập các tài nguyên độc quyền của máy chủ Ivy
- Ngắt kết nối hoặc làm gián đoạn hoạt động tiêu chuẩn của Ivy
Để giải quyết lỗ hổng từ năm 2022 này, các nhà chuyên gia Apache Ivy đã phát hành phiên bản 2.5.2. Đáng chú ý là tính năng xử lý DTD sẽ bị vô hiệu hóa theo mặc định.
Người dùng vẫn sử dụng phiên bản Ivy cũ hơn 2.5.2 có thể tận dụng các thuộc tính hệ thống Java để hạn chế việc xử lý những DTD bên ngoài, nhưng vẫn nên cập nhật ngay bản vá để giảm thiểu các rủi ro sau này.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment