Linux Distros 未修補弱點:CVE-2022-46751
high Nessus Plugin ID 225097
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- Apache Software Foundation Apache Ivy 中存在不當限制 XML 外部實體參照弱點,即 XML 插入 (又名盲目式 XPath 插入) 弱點。此問題會影響 2.5.2 之前的所有 Apache Ivy 版本。2.5.2 版之前的 Apache Ivy 在剖析 XML 檔案 (其本身的組態、Ivy 檔案或 Apache Maven POM) 時,將允許下載外部文件類型定義,並在使用時展開其中包含的任何實體參照。該弱點可用於洩漏資料、存取僅執行 Ivy 的機器可存取的資源,或以不同方式乾擾 Ivy 的執行。從 Ivy 2.5.2 版開始,DTD 處理會依預設停用,剖析 Maven POM 時除外,預設的行為是允許 DTD 處理,但僅包含 Ivy 隨附的 DTD 程式碼片段,該片段是處理現有 Maven POM 所必需的片段,但其不是有效的 XML 檔案,不過仍會被 Maven 接受 。必要時,可透過新引入的系統內容,使存取權更寬鬆。2.5.2 版之前的 Ivy 使用者可使用 Java 系統屬性來限制外部 DTD 的處理,詳情請參閱《Oracle Java API for XML Processing (JAXP) 安全性指南》中關於外部存取 JAXP 屬性限制一節。
(CVE-2022-46751)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 225097
檔案名稱: unpatched_CVE_2022_46751.nasl
版本: 1.3
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/3/5
已更新: 2025/9/14
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.0
CVSS v2
風險因素: High
基本分數: 7.5
時間性分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2022-46751
CVSS v3
風險因素: High
基本分數: 8.2
時間性分數: 7.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2022-46751
弱點資訊
CPE: cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:apache-ivy, p-cpe:/a:redhat:enterprise_linux:apache-ivy-javadoc, p-cpe:/a:redhat:enterprise_linux:apache-ivy, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:centos:centos:apache-ivy-javadoc
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可輕鬆利用: No known exploits are available
弱點發布日期: 2023/8/21
參考資訊
CVE: CVE-2022-46751