1. Toy模板网首页
  2. > Toy博客

【中危】Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)

9月前 作者:开源生态安全OSCS 分类:Toy博客 阅读(34) 违法举报

这篇具有很好参考价值的文章主要介绍了【中危】Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

【中危】Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729),漏洞情报订阅,apache,网络安全,漏洞,安全
zhi.oscs1024.com​​​​​
漏洞类型 SSRF 发现时间 2023-08-23 漏洞等级 中危
MPS编号 MPS-2022-63578 CVE编号 CVE-2022-44729 漏洞影响广度 极小

漏洞危害

OSCS 描述
Apache XML Graphics Batik 是一个开源的、用于处理可缩放矢量图形(SVG)格式图像的工具库。
受影响版本中,由于 SVGAbstractTranscoder 类未对加载的外部资源进行过滤,当加载攻击者可控的恶意 SVG 文件时会默认触发加载外部资源,从而导致资源消耗或信息泄露。
参考链接:https://www.oscs1024.com/hd/MPS-2022-63578
Apache Pony Mail 描述
默认阻止加载外部资源
参考链接:https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.xmlgraphics:batik-bridge [1.6.1, 1.17) 更新 升级org.apache.xmlgraphics:batik-bridge到 1.17 或更高版本
缓解措施 避免加载不受信任的 SVG 文件
补丁 官方已发布补丁:http://svn.apache.org/viewvc?view=revision&revision=1905049
org.apache.xmlgraphics:batik-svgrasterizer [1.9, 1.17) 更新 升级org.apache.xmlgraphics:batik-svgrasterizer到 1.17 或更高版本
org.apache.xmlgraphics:batik-transcoder [1.6.1, 1.17) 更新 升级org.apache.xmlgraphics:batik-transcoder到 1.17 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2022-63578

Apache Pony Mail 平台影响范围和处置方案

影响范围 处置方式 处置方法
Batik 1.0 – 1.16 缓解措施 用户应升级到 Batik 1.17

参考链接:https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2

排查方式

方式1:使用漏洞检测CLI工具来排查

使用文档:CLI客户端 | 墨菲安全文档

方式2:使用漏洞检测IDEA插件排查

使用文档:JetBrains IDE | 墨菲安全文档

方式3:接入GitLab进行漏洞检测排查

使用文档:GitLab | 墨菲安全文档

更多排查方式:关于集成能力 | 墨菲安全文档

关于墨知

墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。

墨知主要内容分类:

  1. 漏洞分析:漏洞_墨知 (oscs1024.com)
  2. 投毒分析:投毒分析_墨知 (oscs1024.com)
  3. 行业动态:行业动态_墨知 (oscs1024.com)
  4. 行业研究:行业研究_墨知 (oscs1024.com)
  5. 工具推荐:工具推荐_墨知 (oscs1024.com)
  6. 最佳实践:最佳实践_墨知 (oscs1024.com)
  7. 技术科普:技术科普_墨知 (oscs1024.com)

墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。

进入社区:https://zhi.oscs1024.com/

原文来自:https://zhi.oscs1024.com/5174.html文章来源地址https://www.toymoban.com/news/detail-673801.html

到了这里,关于【中危】Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 漏洞预警|Apache Linkis 存在反序列化漏洞

    近日网上有关于开源项目Apache Linkis 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。 Apache Linkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用Linkis 提供的REST/WebSoc

    2023年04月15日
    浏览(36)
  • 漏洞深度分析 | Apache StreamPipes 存在权限绕过漏洞导致垂直越权

    漏洞深度分析 | Apache StreamPipes 存在权限绕过漏洞导致垂直越权

    https://github.com/apache/streampipes Apache StreamPipes 使工业数据分析变得简单! StreamPipes 是工业物联网的端到端工具箱。它带有针对非技术用户的丰富的图形用户界面,并提供以下功能:  快速连接超过 20 种工业协议,例如 OPC-UA、PLC、MQTT、REST、Pulsar、Kafka 等。  使用超过 100 种算法

    2024年02月11日
    浏览(41)
  • 【高危】Apache Linkis JDBC EngineConn 插件<1.3.2 存在反序列化漏洞

    【高危】Apache Linkis JDBC EngineConn 插件<1.3.2 存在反序列化漏洞

    Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。 该项目受影响版本存在反序列化漏洞,由于ConnectionManager.java中未对dbUrl、username、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参

    2023年04月20日
    浏览(37)
  • QT 1.17

    QT 1.17

    .cpp .h

    2024年01月19日
    浏览(30)
  • ARM 1.17

    ARM 1.17

        波特率(bandrate),指的是串口通信的速率,也就是串口通信时每秒钟可以传输多少个二进制位。比如每秒钟可以传输9600个二进制(传输一个二进制位需要的时间是1/9600秒,也就是104us),波特率就是9600。 串口的通信波特率不能随意设定,而应该再一些值中去选择。一般

    2024年01月21日
    浏览(33)

  • Flink-1.17集群部署

    1.1、修改flink-conf.yaml 1.1.1、flink-17 1.1.2、flink-1-13 1.2、masters 1.3、workers 2.1、mysql-to-kafka-starrocks 2.2、提交参数

    2024年02月03日
    浏览(45)
  • 深入解读 Flink 1.17

    深入解读 Flink 1.17

    摘要:本文整理自阿里云技术专家,Apache Flink PMC Member Committer、Flink CDC Maintainer 徐榜江(雪尽) 在深入解读 Flink 1.17 的分享。内容主要分为四个部分: Flink 1.17 Overview Flink 1.17 Overall Story Flink 1.17 Key Features Summary Flink 1.17 版本完成了 7 个 FLIP,累计贡献者 170+,解决 600+Issue 以及

    2024年02月17日
    浏览(49)
  • Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)

    Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)

    Apache HTTP Server 是一个Web服务器软件。 该项目受影响版本存在请求走私漏洞。由于mod_proxy_uwsgi.c 中uwsgi_response方法对于源响应头缺少检查,当apache启用mod_proxy_uwsgi后,攻击者可利用过长的源响应头等迫使应转发到客户端的响应被截断或拆分,进而可能造成会话劫持等危害。 漏

    2024年02月09日
    浏览(52)
  • maven 基本知识/1.17

    maven 基本知识/1.17

    ●pom是一个xml文件,包含项目的元数据,如项目的坐标(GroupId,artifactId,version )、项目的依赖关系、构建过程 ●生命周期:清理阶段、默认阶段、站点阶段 ●仓库:用于存储资源,存放各种jar包 ●坐标:描述资源的位置 ●依赖传递 ●依赖管理 ●可选依赖:主动隐藏 ●排除

    2024年01月21日
    浏览(34)

  • 1.17 什么是微服务

    微服务(Microservices)是一种软件架构风格,将一个应用程序拆分为一组小型、独立且可独立部署的服务。每个服务专注于执行一个特定的业务功能,并通过轻量级的通信机制进行相互协作。 微服务架构具有以下特点: 服务拆分: 应用程序被拆分为一组小型的服务,每个服务

    2024年02月16日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包