Linux Distros 未修补的漏洞: CVE-2022-46751
high Nessus 插件 ID 225097
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Apache Software Foundation Apache Ivy 中存在不当限制 XML 外部实体引用、XML 注入(又称盲目 XPath 注入)漏洞。此问题会影响 Apache Ivy 2.5.2 之前的所有版本。Apache Ivy 2.5.2 之前的版本在解析 XML 文件时(其自身的配置、Ivy 文件或 Apache Maven POM),将允许下载外部文档类型定义,并在使用时展开其中包含的任何实体引用。攻击者可利用此漏洞泄露数据,访问仅运行 Ivy 的计算机可以访问的资源,或以不同方式干扰 Ivy 的执行。Ivy 2.5.2 及更高版本在默认情况下禁用 DTD 处理,但在解析 Maven POM 时除外,此时的默认设置为允许 DTD 处理,但仅包含随附 Ivy 的 DTD 片段,该片段可用于处理现有 Maven POM(无效的 XML 文件,但仍被 Maven 接受)。如果需要,可以通过新引入的系统属性来放宽访问权限。Ivy 2.5.2 之前版本的用户可以使用 Java 系统属性来限制外部 DTD 的处理,请参阅《Oracle Java API for XML Processing (JAXP) 安全指南》中有关外部访问的 JAXP 属性限制部分。
(CVE-2022-46751)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 225097
文件名: unpatched_CVE_2022_46751.nasl
版本: 1.3
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/9/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.0
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-46751
CVSS v3
风险因素: High
基本分数: 8.2
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2022-46751
漏洞信息
CPE: cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:apache-ivy, p-cpe:/a:redhat:enterprise_linux:apache-ivy-javadoc, p-cpe:/a:redhat:enterprise_linux:apache-ivy, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:centos:centos:apache-ivy-javadoc
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2023/8/21
参考资料信息
CVE: CVE-2022-46751