GLSA-202401-11：Apache Batik：多个漏洞

critical Nessus 插件 ID 187730

语言：

描述

远程主机受到 GLSA-202401-11 中所述漏洞的影响（Apache Batik：多个漏洞）

- 在 1.x 至 1.10 的 Apache Batik 中，对“AbstractDocument”的子类执行反序列化时，该类使用 inputStream 中的字符串作为类名称，然后该名称被用于调用类的无参数构造函数。已通过在反序列化中调用 newInstance 之前检查类类型进行修复。(CVE-2018-8013)

- Apache Batik 容易受到由 xlink: href 不当输入验证造成的服务器端请求伪造漏洞的影响。通过使用特制的参数，攻击者可利用此漏洞导致底层服务器发出任意 GET 请求。(CVE-2019-17566)

- Apache Batik 1.13 版容易受到由 NodePickerPanel 不当输入验证造成的服务器端请求伪造漏洞的影响。通过使用特制的参数，攻击者可利用此漏洞导致底层服务器发出任意 GET 请求。(CVE-2020-11987)

- Apache XML Graphics 的 Batik 中的服务器端请求伪造 (SSRF) 漏洞允许攻击者通过 jar 协议加载 URL。此问题影响 Apache XML Graphics Batik 1.14 版。(CVE-2022-38398)

- Apache XML Graphics 的 Batik 中的服务器端请求伪造 (SSRF) 漏洞允许攻击者获取外部资源。此问题影响 Apache XML Graphics Batik 1.14 版。(CVE-2022-38648)

- Apache XML Graphics 的 Batik 中的服务器端请求伪造 (SSRF) 漏洞允许攻击者使用 jar URL 访问文件。此问题影响 Apache XML Graphics Batik 1.14 版。(CVE-2022-40146)

- Apache XML Graphics 的 Batik 中有一个漏洞，允许攻击者使用 SVG 运行不受信任的 Java 代码。
此问题影响版本低于 1.16 的 Apache XML Graphics。建议更新到版本 1.16。
(CVE-2022-41704)

- Apache XML Graphics 的 Batik 中有一个漏洞，允许攻击者通过 JavaScript 使用不受信任的 SVG 运行 Java 代码。此问题影响版本低于 1.16 的 Apache XML Graphics。建议用户升级到版本 1.16。(CVE-2022-42890)

- Apache Software Foundation Apache XML Graphics Batik 中存在服务器端请求伪造 (SSRF) 漏洞。此问题影响 Apache XML Graphics Batik:1.16。在版本 1.16 中，恶意 SVG 可能会默认触发加载外部资源，从而导致资源消耗，甚至在某些情况下造成信息泄露。建议用户升级到 1.17 或更高版本。(CVE-2022-44729)

- Apache Software Foundation Apache XML Graphics Batik 中存在服务器端请求伪造 (SSRF) 漏洞。此问题影响 Apache XML Graphics Batik:1.16。恶意 SVG 可以探测用户配置文件/数据，并将其作为参数直接发送到 URL。(CVE-2022-44730)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。