发布日期：2019-06-10
更新日期：2019-06-11

受影响系统：

pivotal Spring Integration 5.1.1
pivotal Spring Integration 5.0.10
pivotal Spring Integration 4.3.18
Oracle Retail Customer Management and Segmentation Founda 18.0
Oracle Retail Customer Management and Segmentation Founda 17.0
Oracle Retail Customer Management and Segmentation Founda 16.0

不受影响系统：

pivotal Spring Integration 5.1.2
pivotal Spring Integration 5.0.11
pivotal Spring Integration 4.3.19

描述：

---

BUGTRAQ  ID: 106749
CVE(CAN) ID: CVE-2019-3772

Pivotal Spring Integration是美国Pivotal Software公司的一款企业集成模式。该产品主要用于在基于Spring的应用程序中实现轻量级消息传递，并支持通过声明适配器与尾部系统集成。
Spring Integration（spring-integration-xml和spring-integration-ws模块），版本4.3.18,5.0.10,5.1.1和较旧的不受支持的版本，在从以下方面接收XML数据时容易受到XML外部实体注入（XXE）的影响不信任的来源。

<*来源：Pivotal
  
  链接：https://pivotal.io/security/cve-2019-3772
        https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
*>

建议：

---

厂商补丁：

Oracle
------
Oracle已经为此发布了一个安全公告（CVE-2019-3772）以及相应补丁:
CVE-2019-3772：Oracle Critical Patch Update Advisory - April 2019
链接：https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

补丁下载：



pivotal
-------
pivotal已经为此发布了一个安全公告（cve-2019-3772）以及相应补丁:
cve-2019-3772：XML External Entity Injection (XXE)
链接：https://pivotal.io/security/cve-2019-3772

补丁下载：

浏览次数：1215
严重程度：0（网友投票）