漏洞概述
Apache SIS(Spatial Information System)是一个用于地理空间数据处理的开源Java库。近期发现该库存在一个安全漏洞,编号为CVE-2025-68280。这是一个XML外部实体注入漏洞,属于中等严重程度。
该漏洞的本质在于,当Apache SIS处理某些特定格式的XML文件时,对外部实体引用(XML External Entity Reference, XXE)的限制不充分。
漏洞细节
受影响的版本
该漏洞影响Apache SIS的sis-metadata模块(Maven坐标:org.apache.sis.core:sis-metadata),具体版本范围为0.4至1.5(含)。这意味着在这些版本中使用的库,如果处理了特定的恶意输入文件,就可能触发此漏洞。
漏洞影响的服务
该漏洞并非影响所有功能,而是与特定XML数据解析过程相关,具体包括:
- 读取包含由国防地理空间信息工作组(DGIWG) 定义的
GEO_METADATA标签的GeoTIFF文件。 - 解析ISO 19115格式的XML元数据。
- 解析GML(地理标记语言) 格式中定义的坐标参考系统。
- 解析GPS交换格式(GPX) 文件。
攻击原理与后果
攻击者可以精心构造一个XML文件,当该文件被存在漏洞的Apache SIS服务解析时,能够诱导服务读取并泄露运行Apache SIS的服务器上的本地文件内容。这可能导致服务器上的敏感信息(如配置文件、密码、系统信息等)被窃取。
解决方案
官方修复方案
Apache官方已经发布了修复此漏洞的版本。用户应将Apache SIS升级至1.6或更高版本,这是根除此问题的推荐方法。
临时缓解措施
在无法立即升级的情况下,可以通过配置Java运行环境来临时规避此漏洞。具体方法是在启动Java时设置系统属性 javax.xml.accessExternalDTD,将其值设置为空字符串,以禁止访问外部文档类型定义(DTD)。
启动示例:
|
|
技术背景与社区讨论
根据公开的邮件列表讨论,此次修复对应的代码提交位于apache/sis代码库的一个特定commit。
社区讨论中也有人指出,Java XML解析器的默认安全设置多年来一直较为宽松,导致此类XXE漏洞在许多依赖Java XML库的应用程序中反复出现。开发者普遍希望Oracle等维护方能从根本上调整默认配置,以提升整个生态系统的安全性。
此漏洞已根据通用漏洞评分系统(CVSS)进行了评估,其基础评分为6.5(中等)。具体的CVSS v3.1向量字符串为:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N,这表示攻击可以通过网络远程发起,无需特权和低复杂度,但需要用户交互;其影响主要导致高程度的信息泄露,而不会影响数据的完整性和系统可用性。