【中危】Apache XML Graphics Batik＜1.17 存在SSRF漏洞 (CVE-2022-44729)-Toy模板网

这篇具有很好参考价值的文章主要介绍了【中危】Apache XML Graphics Batik＜1.17 存在SSRF漏洞 (CVE-2022-44729)。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

【中危】Apache XML Graphics Batik＜1.17 存在SSRF漏洞 (CVE-2022-44729),漏洞情报订阅,apache,网络安全,漏洞,安全 — zhi.oscs1024.com

漏洞类型	SSRF	发现时间	2023-08-23	漏洞等级	中危
MPS编号	MPS-2022-63578	CVE编号	CVE-2022-44729	漏洞影响广度	极小

漏洞危害

OSCS 描述

Apache XML Graphics Batik 是一个开源的、用于处理可缩放矢量图形(SVG)格式图像的工具库。
受影响版本中，由于 SVGAbstractTranscoder 类未对加载的外部资源进行过滤，当加载攻击者可控的恶意 SVG 文件时会默认触发加载外部资源，从而导致资源消耗或信息泄露。
参考链接：https://www.oscs1024.com/hd/MPS-2022-63578

Apache Pony Mail 描述

默认阻止加载外部资源
参考链接：https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
org.apache.xmlgraphics:batik-bridge [1.6.1, 1.17)	更新	升级org.apache.xmlgraphics:batik-bridge到 1.17 或更高版本
	缓解措施	避免加载不受信任的 SVG 文件
	补丁	官方已发布补丁：http://svn.apache.org/viewvc?view=revision&revision=1905049
org.apache.xmlgraphics:batik-svgrasterizer [1.9, 1.17)	更新	升级org.apache.xmlgraphics:batik-svgrasterizer到 1.17 或更高版本
org.apache.xmlgraphics:batik-transcoder [1.6.1, 1.17)	更新	升级org.apache.xmlgraphics:batik-transcoder到 1.17 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-2022-63578

Apache Pony Mail 平台影响范围和处置方案

影响范围	处置方式	处置方法
Batik 1.0 – 1.16	缓解措施	用户应升级到 Batik 1.17
参考链接：https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2