Apache Drill XML Format Plugin 存在XXE漏洞(CVE-2023-48362)
CVE编号
CVE-2023-48362利用情况
暂无补丁情况
N/A披露时间
2024-07-24漏洞描述
Apache Drill 是开源的分布式SQL查询引擎,用于对大规模数据集进行交互式分析。XML Format Plugin 是其中的扩展插件,使Drill能够直接查询和处理XML格式的数据。 受影响版本中,由于 XML Format Plugin 的 XMLReader 类未对用户可控的 DTD 进行过滤,当程序解析攻击者可控的恶意 XML 文件是可导致信息泄露或远程代码执行。解决建议
"将组件 drill 升级至 1.21.2 及以上版本""将组件 org.apache.drill.contrib:drill-format-xml 升级至 1.21.2 及以上版本"
参考链接 |
|
|---|---|
| http://www.openwall.com/lists/oss-security/2024/07/24/3 | |
| https://lists.apache.org/thread/9tt0q4bdjwgw0dz0l9knqxjnpb5y6zsl |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-611 | XML外部实体引用的不恰当限制(XXE) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论