CVE-2025-64518:CycloneDX Core Java库XXE注入漏洞
漏洞概述
CycloneDX Core(Java)库的BOM(物料清单)验证功能存在XML外部实体(XXE)注入漏洞。该漏洞被评定为高危级别,CVSS评分为7.5分。
受影响版本
- 受影响版本:>= 2.1.0, < 11.0.1
- 已修复版本:11.0.1
漏洞详情
根本原因
CycloneDX Core Java库中使用的XML验证器未进行安全配置,导致库容易受到XML外部实体(XXE)注入攻击。
值得注意的是,之前针对GHSA-683x-4444-jxh8 / CVE-2024-38374的修复并不完整,仅修复了XML BOM的解析问题,但未修复验证环节的安全问题。
技术影响
攻击者可以利用此漏洞通过特制的XML文档读取服务器上的任意文件,造成敏感信息泄露。
解决方案
官方修复
该漏洞已在cyclonedx-core-java版本11.0.1中修复。
临时缓解措施
如果可行,应用程序可以在将XML文档交给cyclonedx-core-java进行验证之前拒绝这些文档。如果传入的CycloneDX BOM已知为JSON格式,这可能是一个可行的选择。
参考信息
- 问题引入提交:CycloneDX/cyclonedx-core-java@162aa59
- 修复提交:CycloneDX/cyclonedx-core-java#737
- 安全指南:OWASP XML外部实体防护指南
相关标识
- CVE ID:CVE-2025-64518
- GHSA ID:GHSA-6fhj-vr9j-g45r
- 弱点分类:CWE-611(XML外部实体引用限制不当)
CVSS评分详情
- 攻击向量:网络(Network)
- 攻击复杂度:低(Low)
- 所需权限:无(None)
- 用户交互:无(None)
- 影响范围:未改变(Unchanged)
- 机密性影响:高(High)
- 完整性影响:无(None)
- 可用性影响:无(None)
致谢
- 报告者:BrightKn1ght
- 修复开发者:nscuro