Apache Camel XML外部实体漏洞

CNNVD-ID编号 CNNVD-201506-043
CVE编号 CVE-2015-0264
发布时间 2015-06-04
更新时间 2019-05-27
漏洞类型 其他
漏洞来源 N/A
危险等级 中危
威胁类型 远程
厂 商 apache

漏洞介绍

Apache Camel是美国阿帕奇(Apache)软件基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式,简称EIP)的集成框架。该框架提供企业集成模式的Java对象(POJO)的实现,且通过应用程序接口来配置路由和中介的规则。

Apache Camel 2.13.4之前版本和2.14.2之前2.14.x版本的builder/xml/XPathBuilder.java文件中存在XML外部实体漏洞。远程攻击者可借助Xpath查询中无效的XML String或GenericFile对象中的外部实体利用该漏洞读取任意文件。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

参考网址

受影响实体

信息来源