CycloneDX Core (Java):BOM验证存在XML外部实体注入漏洞
漏洞详情
包名称: maven - org.cyclonedx:cyclonedx-core-java
受影响版本: >= 2.1.0, < 11.0.1
已修复版本: 11.0.1
漏洞描述
影响
cyclonedx-core-java使用的XML验证器未进行安全配置,使得该库容易受到XML外部实体(XXE)注入攻击。
之前针对GHSA-683x-4444-jxh8 / CVE-2024-38374的修复不完整,仅修复了XML BOM的解析,但未修复验证过程。
修复补丁
该漏洞已在cyclonedx-core-java 11.0.1版本中修复。
临时解决方案
如果可行,应用程序可以在将XML文档交给cyclonedx-core-java进行验证之前拒绝这些文档。如果传入的CycloneDX BOM已知为JSON格式,这可能是一个可选方案。
技术信息
严重程度
- 严重等级: 高
- CVSS总体评分: 7.5/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性: 高
- 完整性: 无
- 可用性: 无
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
EPSS评分
- EPSS分数: 0.052%(第16百分位)
弱点信息
弱点: CWE-611 - XML外部实体引用的不当限制
产品处理包含XML实体的XML文档时,这些实体的URI可能解析到预期控制范围之外的文档,导致产品将不正确的文档嵌入其输出中。
参考信息
- 问题引入提交:CycloneDX/cyclonedx-core-java@162aa59
- 问题修复提交:CycloneDX/cyclonedx-core-java#737
- OWASP XML外部实体防护备忘单:https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#schemafactory
标识符
- CVE ID: CVE-2025-64518
- GHSA ID: GHSA-6fhj-vr9j-g45r
源代码
CycloneDX/cyclonedx-core-java
致谢
- nscuro: 修复开发者
- BrightKn1ght: 报告者