漏洞详情

软件包: maven:org.eclipse.jgit:org.eclipse.jgit (Maven) 严重程度: 中等 (CVSS 评分: 6.8) 发布时间: 2025年5月21日 (GitHub Advisory Database) 最后更新: 2025年11月27日 状态: GitHub 已审核

受影响版本

• >= 7.2.0.202503040940-r, < 7.2.1.202505142326-r
• >= 7.1.0.202411261347-r, < 7.1.1.202505221757-r
• >= 7.0.0.202409031743-r, < 7.0.1.202505221510-r
• >= 6.1.0.202203080745-r, < 6.10.1.202505221210-r
• >= 5.13.5.202508271544-r, < 6.0.0.202111291000-r
• < 5.13.4.202507202350-r

已修复版本

• 7.2.1.202505142326-r
• 7.1.1.202505221757-r
• 7.0.1.202505221510-r
• 6.10.1.202505221210-r
• 6.0.0.202111291000-r
• 5.13.4.202507202350-r

漏洞描述

在 Eclipse JGit 7.2.0.202503040940-r 及更早版本中，被 repo 命令使用的 ManifestParser 类以及用于实现实验性的 amazons3 Git 传输协议（允许将 Git pack 文件存储在 Amazon S3 存储桶中）的 AmazonS3 类，在解析 XML 文件时容易受到 XML 外部实体（XXE）攻击。此漏洞可能导致信息泄露、拒绝服务和其他安全问题。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-4949

• https://projects.eclipse.org/projects/technology.jgit/releases/7.2.1

• https://projects.eclipse.org/projects/technology.jgit/releases/6.10.1

• https://projects.eclipse.org/projects/technology.jgit/releases/7.0.1

• https://projects.eclipse.org/projects/technology.jgit/releases/7.1.1

• https://projects.eclipse.org/projects/technology.jgit/releases/5.13.4

技术细节

CVSS v4 基础指标

• 攻击向量: 网络
• 攻击复杂度: 高
• 攻击要求: 无
• 所需权限: 低
• 用户交互: 需要
• 受影响系统机密性影响: 高
• 受影响系统完整性影响: 无
• 受影响系统可用性影响: 无
• 后续系统机密性影响: 高
• 后续系统完整性影响: 无
• 后续系统可用性影响: 无

可利用性预测评分系统（EPSS）分数: 0.061% (第19百分位)

此分数估计了该漏洞在未来30天内被利用的概率。

关联弱点

• CWE-ID: CWE-611
• 描述: XML 外部实体引用限制不当
• 详细说明: 该产品处理的 XML 文档可能包含 URI 指向预期控制范围之外文档的 XML 实体，导致产品将错误的文档嵌入其输出中。

标识符

• CVE ID: CVE-2025-4949
• GHSA ID: GHSA-vrpq-qp53-qv56

源代码仓库

• eclipse-jgit/jgit

致谢

• 分析师: christian0101

注意：此安全公告已进行编辑，详情可查看历史记录。