1

NVD 将 PostgreSQL JDBC 驱动程序报告为具有高严重性 (7.7) 的 XXE 漏洞,请参阅https://nvd.nist.gov/vuln/detail/CVE-2020-13692。这种类型的漏洞与解析 XML 中的外部实体有关。

不过,我找不到有关如何实际使用受损 XML 文件来利用 PostgreSQL JDBC 驱动程序中的此漏洞的信息。是当应用程序尝试在数据库中存储 XML 文件时?是否有解析的 XML 配置文件在受到破坏时会导致问题?其他用途?我如何知道易受攻击的部分是否实际用于我的应用程序以及它是否易受攻击?

4

1 回答 1

0

仅根据 CVE 文档检查可利用性可能是一个非常耗时的麻烦。每次我做这样的事情时,我最终都会在修复之前和之后阅读源代码以了解哪里出了问题(或者之前因为它看起来很麻烦而放弃了)。有时您可以在https://www.exploit-db.com/metasploit等网站上搜索漏洞利用代码,但通常不会成功。

我的建议 - 升级。花时间对应用程序执行测试,以确保升级后一切正常。

于 2020-07-24T06:40:45.800 回答