CVE-2022-28890

MITJÀ: (5.3)

CVSS6: 4.6

Apache Jena podria permetre a un atacant remot obtenir informació sensible, causada per un maneig indegut de declaracions d’entitat externa XML (XXE) per part de l’analitzador RDF/XML. Mitjançant l’enviament d’una sol·licitud especialment elaborada, un atacant remot podria explotar aquesta vulnerabilitat per obtenir la informació externa de DTD, i utilitzar aquesta informació per llançar nous atacs contra el sistema afectat.

Sistemes Afectats

• Apache Jena 4.4.0

Remediació
Actualitzeu a l’última versió d’Apache Jena (4.5.0 o posterior), disponible des del lloc web Apache. Vegeu Referències.

Referències

• https://seclists.org/oss-sec/2022/q2/82
• https://jena.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28890