CVE编号
CVE-2019-0188利用情况
暂无补丁情况
N/A披露时间
2019-05-29漏洞描述
CVE(CAN) ID:CVE-2019-0188Apache Camel是美国阿帕奇(Apache)软件基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式,简称EIP)的集成框架。Apache Camel存在一个XML外部实体注入漏洞,允许攻击装通过特制的请求来读取服务器上的任意文件。该漏洞的产生原因是使用了过时的、易受攻击的JSON-lib库。<br>解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://cwiki.apache.org/confluence/display/CAMEL/Camel+2.24.0+Release
参考链接 |
|
|---|---|
| http://jvn.jp/en/jp/JVN71498764/index.html | |
| http://www.openwall.com/lists/oss-security/2019/05/24/2 | |
| http://www.securityfocus.com/bid/108422 | |
| https://github.com/apache/camel/blob/master/docs/user-manual/en/security-advi... | |
| https://lists.apache.org/thread.html/00118387610522b107cbdcec5369ddd512b576ff... | |
| https://lists.apache.org/thread.html/45349f8bd98c1c13a84beddede18fe79b8619eba... | |
| https://lists.apache.org/thread.html/61601cda2c5f9832184ea14647b0c0589c94126a... | |
| https://lists.apache.org/thread.html/63d1cec8541befeb59dbed23a6b227bdcca7674a... | |
| https://lists.apache.org/thread.html/6fefbd90f7fb4c8412d85ea3e9e97a4b76b47e20... | |
| https://lists.apache.org/thread.html/84ba9b79e801a4148dde73d1969cdae0247d11ff... | |
| https://lists.apache.org/thread.html/ac51944aef91dd5006b8510b0bef337adaccfe96... | |
| https://lists.apache.org/thread.html/eed73fc18d4fa3e2341cd0ab101b47f06b16c7ef... | |
| https://lists.apache.org/thread.html/fe74d173689600d9a395d026f0bf5d154c0bf7bd... | |
| https://www.oracle.com/security-alerts/cpujan2021.html | |
| https://www.oracle.com/security-alerts/cpujul2020.html | |
| https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | camel | * |
Up to (excluding) 2.24.0 |
|||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
还没有评论,来说两句吧...