Eclipse JGit XML外部实体(XXE)漏洞·CVE-2025-4949

漏洞详情

软件包：maven:org.eclipse.jgit:org.eclipse.jgit (Maven)

受影响版本：

• >= 7.2.0.202503040940-r, < 7.2.1.202505142326-r
• >= 7.1.0.202411261347-r, < 7.1.1.202505221757-r
• >= 7.0.0.202409031743-r, < 7.0.1.202505221510-r
• >= 6.1.0.202203080745-r, < 6.10.1.202505221210-r
• >= 5.13.5.202508271544-r, < 6.0.0.202111291000-r
• < 5.13.4.202507202350-r

已修复版本：

• 7.2.1.202505142326-r
• 7.1.1.202505221757-r
• 7.0.1.202505221510-r
• 6.10.1.202505221210-r
• 6.0.0.202111291000-r
• 5.13.4.202507202350-r

漏洞描述

在Eclipse JGit 7.2.0.202503040940-r及更早版本中，repo命令使用的ManifestParser类以及用于实现实验性amazons3 git传输协议（允许将git包文件存储在Amazon S3存储桶中）的`AmazonS3类，在解析XML文件时容易受到XML外部实体(XXE)攻击。此漏洞可能导致信息泄露、拒绝服务和其他安全问题。

严重程度

中度严重
CVSS总体评分：6.8/10

CVSS v4基础指标：

• 攻击向量：网络
• 攻击复杂度：高
• 攻击要求：无
• 所需权限：低
• 用户交互：主动

受影响系统影响指标：

• 机密性：高
• 完整性：无
• 可用性：无

后续系统影响指标：

• 机密性：高
• 完整性：无
• 可用性：无

CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:A/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/S:N/AU:Y/R:U/V:D/RE:L/U:Green

EPSS评分：0.051%（第16百分位）

漏洞类型

弱点：CWE-611 - XML外部实体引用限制不当

产品处理的XML文档可能包含指向预期控制范围之外的文档的URI的XML实体，导致产品将不正确的文档嵌入其输出中。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-4949

• https://projects.eclipse.org/projects/technology.jgit/releases/7.2.1

• https://projects.eclipse.org/projects/technology.jgit/releases/6.10.1

• https://projects.eclipse.org/projects/technology.jgit/releases/7.0.1

• https://projects.eclipse.org/projects/technology.jgit/releases/7.1.1

• https://projects.eclipse.org/projects/technology.jgit/releases/5.13.4

CVE ID：CVE-2025-4949
GHSA ID：GHSA-vrpq-qp53-qv56
源代码：eclipse-jgit/jgit

致谢：christian0101（分析师）

发布时间线

• 国家漏洞数据库发布时间：2025年5月21日
• GitHub咨询数据库发布时间：2025年5月21日
• 审核时间：2025年5月22日
• 最后更新时间：2025年11月27日