关键信息 漏洞描述 名称: XXE vulnerability can lead to a Server Side Request Forgery attack 发布者: alexey-tschudnowsky 发布日期: 昨天 CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: None - User interaction: None - Scope: Changed - Confidentiality: High - Integrity: None - Availability: None CVE ID: CVE-2024-46984 Weakness: CWE-611 影响 受影响的版本: < 2.5.1 已修复的版本: 2.5.1 影响范围 受影响的包: de.gematik.refv.commons:commons (Maven) 影响的应用 受影响的应用: 使用 referencevalidator 处理来自不可信来源的 XML 资源的应用。 解决方案 已修复: 已在 2.5.1 版本中修复。 建议: 用户强烈建议更新到此版本或更早版本。 工具 工作原理: 通过分析输入的 XML 资源是否存在 DTD 定义或外部实体来缓解问题。 参考 OWASP Top 10 XXE Server Side Request Forgery OWASP XML External Entity Prevention Cheat Sheet