支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2024-47554 基础信息
漏洞信息
                                        # Apache Commons IO:不受信任的输入可能导致对XmlStreamReader的拒绝服务攻击

## 概述
Apache Commons IO 中的 `org.apache.commons.io.input.XmlStreamReader` 类在处理恶意编写的输入时可能会过度消耗 CPU 资源,存在无限制资源耗尽漏洞。

## 影响版本
- Apache Commons IO 从 2.0 到 2.14.0 (不包括 2.14.0)

## 细节
`XmlStreamReader` 类在处理恶意编写的输入数据时,会导致 CPU 资源被无限制地耗尽。

## 影响
建议用户升级到 2.14.0 或更高版本,此版本已修复该问题。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Apache Commons IO的org.apache.commons.io.input.XmlStreamReader类中,当处理恶意构造的输入时,可能会过度消耗CPU资源,导致服务端资源被耗尽,影响服务正常运行。这个问题影响从2.0到2.14.0之前的Apache Commons IO版本。用户应升级到2.14.0或更高版本,以修复该问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Commons IO: Possible denial of service attack on untrusted input to XmlStreamReader
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Uncontrolled Resource Consumption vulnerability in Apache Commons IO. The org.apache.commons.io.input.XmlStreamReader class may excessively consume CPU resources when processing maliciously crafted input. This issue affects Apache Commons IO: from 2.0 before 2.14.0. Users are recommended to upgrade to version 2.14.0 or later, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Commons IO 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Commons IO是美国阿帕奇(Apache)基金会的一个应用程序。提供一个帮助开发IO功能。 Apache Commons IO 2.0版本至2.14.0之前版本存在资源管理错误漏洞,该漏洞源于CPU资源消耗不受控制。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47554 的公开POC
#POC 描述源链接神龙链接
1Proof of concept of CVE-2024-47554https://github.com/PawelMurdzek/CVE-2024-47554-PoCPOC详情
三、漏洞 CVE-2024-47554 的情报信息

  • 标题: CVE-2024-47554: Apache Commons IO: Possible denial of service attack on untrusted input to XmlStreamReader-Apache Mail Archives -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            ### 关键信息

- **漏洞编号**: CVE-2024-47554
- **受影响的组件**: Apache Commons IO
- **受影响的版本范围**: 从 2.0 版本到 2.14.0 版本
- **漏洞描述**: 未受控的资源消耗漏洞,当处理恶意构造的输入时,`org.apache.commons.io.input.XmlStreamReader` 类可能会过度消耗 CPU 资源。
- **建议措施**: 建议用户升级到 2.14.0 或更高版本,以修复此问题。
- **工具**: CodeQL
- **参考链接**:
  - [Apache Commons IO 官方页面](https://commons.apache.org/)
  - [CVE-2024-47554 的 CVE 记录](https://www.cve.org/CVERecord?id=CVE-2024-47554)

### 其他信息

- **报告人**: Gary D. Gregory
- **报告日期**: 2024年10月3日,星期四,晚上7:26:22 GMT+8
- **严重性**: 低
- **订阅和帮助**: 可以通过以下电子邮件地址进行订阅和获取帮助:
  - `user-unsubscribe@commons.apache.org`
  - `user-help@commons.apache.org`

### 附加信息

- **邮件系统**: Apache Pony Mail
- **版本**: Foal v1.0.1 -78ad7bf
- **隐私请求**: 请通过 `privacy@apache.org` 联系。
- **服务问题**: 请通过 `users@infra.apache.org` 联系。
    CVE-2024-47554: Apache Commons IO: Possible denial of service attack on untrusted input to XmlStreamReader-Apache Mail Archives
  • https://nvd.nist.gov/vuln/detail/CVE-2024-47554
四、漏洞 CVE-2024-47554 的评论

暂无评论

发表评论