关键漏洞信息 漏洞描述 - : 可能无法在所有情况下防止外部实体扩展。具体见描述链接:DOMDeserializer.java#L30 和 DOMDeserializer.java#L33 CVE 编号 - CVE-2020-25649 问题与修复 - 成功修复了此问题,并在 612f971 提交中解决了 #2589 问题。 - 在 2.11.0 版本中包含对此漏洞的修复。 关键讨论点 - 在某些 XML 处理器配置下,例如使用其他 Xerces 版本,即使设置了 ,仍然可能发生实体扩展。 - 建议同时设定其他安全选项,如 以进一步防止此漏洞。 相关提及与发现 - 多地提及在使用 jackson-databind 的不同版本时发现了此漏洞。 - 如 在 jackson-databind-2.6.7.3.jar、jackson-databind-2.8.9 等多个版本中被检测到。