阿里云漏洞库

漏洞描述

在2.0.3版的Apache Santuario XML Security for Java中，引入了一种缓存机制，以使用DocumentBuilders的静态池加快创建新XML文档的速度。但是，如果某些不受信任的代码可以首先在线程上下文类加载器中注册恶意实现，则该实现可能会被Apache Santuario-XML Security for Java缓存并重新使用，从而在验证签名文档等时导致潜在的安全漏洞。该漏洞影响2.0.3之前的Apache Santuario-XML Security for Java 2.0.x发行版以及2.1.4之前的所有2.1.x发行版。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://santuario.apache.org/secadv.data/CVE-2019-12400.asc?version=1&modifica...
https://access.redhat.com/errata/RHSA-2020:0804
https://access.redhat.com/errata/RHSA-2020:0805
https://access.redhat.com/errata/RHSA-2020:0806
https://access.redhat.com/errata/RHSA-2020:0811
https://lists.apache.org/thread.html/8e814b925bf580bc527d96ff51e72ffe5bdeaa4b...
https://lists.apache.org/thread.html/edaa7edb9c58e5f5bd0c950f2b6232b62b15f5c4...
https://lists.apache.org/thread.html/r107bffb06a5e27457fe9af7dfe3a233d0d36c6c...
https://lists.apache.org/thread.html/r1c07a561426ec5579073046ad7f4207cdcef452...
https://lists.apache.org/thread.html/rcdc0da94fe21b26493eae47ca987a290bdf90c7...
https://lists.apache.org/thread.html/rf82be0a7c98cd3545e20817bb96ed05551ea002...
https://lists.apache.org/thread.html/rf958cea96236de8829940109ae07e870aa3d592...
https://security.netapp.com/advisory/ntap-20190910-0003/
https://www.oracle.com/security-alerts/cpuoct2021.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	santuario_xml_security_for_java	*	From (including) 2.0.3	Up to (including) 2.0.10
	运行在以下环境
	应用	apache	santuario_xml_security_for_java	*	From (including) 2.1.0	Up to (excluding) 2.1.4
	运行在以下环境
	系统	debian_12	libxml-security-java	*		Up to (excluding) 2.1.7-1

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

低危 Apache Santuario可能从不受信任的源加载XML解析代码

漏洞描述

解决建议

参考链接

受影响软件情况