XML 外部實體
CVE-ID
CVE-2014-3630
日期
2014 年 10 月 7 日
2014 年 11 月 19 日更新:Play 2.2.6 已發布修正程式。
說明
在 Play 的 Java XML 處理中發現一個漏洞。
攻擊者可能使用 XML 外部實體從檔案系統、內部網路讀取檔案,或對應用程式執行 DoS 攻擊。
影響
任何使用 Java play.libs.XML API 直接從不受信任的來源分析 XML,或使用 Play 的 WS 伺服器 API 從不受信任的伺服器分析 XML 回應的應用程式。
特別是,此漏洞不會影響接收包含 XML 主體的要求的 Java 動作。它也不會影響 Play 中提供的任何 Scala XML 處理 API。
受影響的版本
- Play 2.0 - 2.3.4
解決方法
不要使用 play.libs.XML API 來剖析 XML,而是使用 DocumentBuilderFactory,並按照 OWASP 在此處所述進行設定。
不要使用 play.libs.ws.WSResponse.asXml 方法,而是使用 getBody 方法,並使用安全設定的 DocumentBuilderFactory 進行剖析。
修正
升級至 Play 2.3.5 或 Play 2.2.6。
CVSS 指標 (更多資訊)
- 基礎:4.0
AV:N/AC:H/Au:N/C:P/I:N/A:P - 時間:3.1
E:POC/RL:OF/RC:C - 環境:1.0
CDP:ND/TD:L/CR:H/IR:H/AR:ND
環境評分假設為典型的網際網路系統。組織的實際環境評分可能有所不同。
致謝
發現此漏洞的功勞歸於紅帽產品安全部門的 David Jorm。