漏洞详情
包名: maven/org.cyclonedx:cyclonedx-core-java
受影响版本: >= 2.1.0, < 11.0.1
已修复版本: 11.0.1
漏洞描述
影响
CycloneDX Core Java库使用的XML验证器未进行安全配置,导致该库容易受到XML外部实体(XXE)注入攻击。
此前针对GHSA-683x-4444-jxh8 / CVE-2024-38374的修复并不完整,仅修复了XML BOM的解析功能,但未修复验证功能。
补丁
该漏洞已在cyclonedx-core-java版本11.0.1中修复。
临时解决方案
如果可行,应用程序可以在将XML文档交给cyclonedx-core-java进行验证之前拒绝这些文档。如果传入的CycloneDX BOM已知为JSON格式,这可能是一个可行的选项。
技术参考
- 问题引入提交:CycloneDX/cyclonedx-core-java@162aa59
- 问题修复提交:CycloneDX/cyclonedx-core-java#737
- OWASP XML外部实体防护指南:https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#schemafactory
相关引用
- GHSA-6fhj-vr9j-g45r
- CycloneDX/cyclonedx-core-java#737
- CycloneDX/cyclonedx-core-java@162aa59
- CycloneDX/cyclonedx-core-java@af0ec75
安全评分
严重程度: 高
CVSS评分: 7.5/10
CVSS v3.1向量: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
弱点分类
CWE-ID: CWE-611
弱点描述: XML外部实体引用限制不当 - 产品处理包含XML实体的文档时,这些实体的URI可能解析到预期控制范围之外的文档,导致产品将错误的文档嵌入其输出中。
标识符
- CVE ID: CVE-2025-64518
- GHSA ID: GHSA-6fhj-vr9j-g45r
致谢
- nscuro(修复开发者)
- BrightKn1ght(报告者)