Apache Jena XXE漏洞（CVE-2022-28890）

CVE-2022-28890漏洞是由于4.5.0 版本之前的 jena-core 没有对 XML 外部实体引用做限制，攻击者可利用恶意的 xml 文件实现读取任意文件。该漏洞影响范围小，建议受影响用户尽快升级到 4.5.0 版本。

编号	CVE-2022-28890
标题	Apache Jena XXE漏洞
描述	Apache Jena 是一个免费的开源Java框架，用于构建语义Web和链接数据应用程序。在4.5.0版本之前的 Apache Jena 中，攻击者可以通过引用 XML 外部实体实现读取任意文件的恶意操作。
发布时间	2022/5/5
漏洞级别	高危
影响组件	org.apache.jena:jena-core
影响范围	小

参考链接：https://lists.apache.org/thread/h88oh642455wljo0p5jgzs9phk4gj878
https://www.cve.org/CVERecord?id=CVE-2022-28890

    
  

【使用墨菲安全的开源工具帮您快速检测代码安全】
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
开源地址：https://github.com/murphysecurity/murphysec
产品官网：https://murphysec.com

IDE插件：欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件，一键检测一键修复～

【关于墨菲安全实验室】
墨菲安全实验室是墨菲未来科技旗下的安全研究团队，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。