发布日期：2022-08-16
更新日期：2022-10-10

受影响系统：

Eclipse Eclipse Sphinx < 0.13.1

描述：

---

CVE(CAN) ID: CVE-2022-2838

clipse Sphinx是Eclipse基金会的一个可扩展平台，简化支持单个或多种建模语言（可以是基于 UML 或原生 DSL）的集成建模工具环境的创建，并特别关注工业实力和互操作性。
Eclipse Sphinx 0.13.1之前版本存在信息泄露漏洞。该漏洞源于程序使用Apache Xerces XML Parser时未禁用对引用的外部实体的处理。攻击者可利用该漏洞注入任意定义，进而访问本地文件并通过HTTP请求公开其内容。

<**>

建议：

---

厂商补丁：

Eclipse
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://bugs.eclipse.org/580542

浏览次数：502
严重程度：0（网友投票）