【中危】Apache XML Graphics Batik＜1.17 存在SSRF漏洞 (CVE-2022-44729)

本文介绍: 墨知是国内首个专注软件供应链安全领域的技术社区，社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容，包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析（SCA）、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流，帮助组织和个人提高软件供应链的安全性，减少供应链攻击的风险，并保护软件生态系统的整体安全。

漏洞类型	SSRF	发现时间	2023-08-23	漏洞等级	中危
MPS编号	MPS-2022-63578	CVE编号	CVE-2022-44729	漏洞影响广度	极小

漏洞危害

OSCS 描述

Apache XML Graphics Batik 是一个开源的、用于处理可缩放矢量图形(SVG)格式图像的工具库。
受影响版本中，由于 SVGAbs t ractTr ans code r 类未对加载的外部资源进行过滤，当加载攻击者可控的恶意 SVG 文件时会默认触发加载外部资源，从而导致资源消耗或信息泄露。
参考链接：https://www.oscs1024.com/hd/MPS-2022-63578

Ap a ch e Pon y Mail 描述

默认阻止加载外部资源
参考链接：https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2

影响范围	处置方式	处置方法
org.apache.xml graphics:bat ik–bridge [1.6.1, 1.17)	更新	升级 org.apache.xml graphics:b a ti k–bridge到 1.17 或更高版本
	缓解措施	避免加载不受信任的 SVG 文件
	补丁	官方已发布补丁：http://svn.apache.org/view vc?view=re vision&re vision=1905049
o r g.apache.xml graphics:b a ti k–svg r ast e r ize r [1.9, 1.17)	更新	升级 o r g.apache.xml graphics:bati k–svg raste r izer到 1.17 或更高版本
org.apache.xml graphics:bati k–tr ans c od er [1.6.1, 1.17)	更新	升级 org.apache.xml graphic s:batik-tr ans c od er到 1.17 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-2022-63578

影响范围	处置方式	处置方法
Batik 1.0 – 1.16	缓解措施	用户应升级到 Batik 1.17
参考链接：https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2