Apache Camel prior to 2.24.0 contains an XML external entity injection (XXE) vulnerability (CWE-611) due to using an outdated vulnerable JSON-lib library. This affects only the camel-xmljson component, which was removed.
此描述特别提到了camel-xmljson组件。我们的组织使用自动扫描工具来检测开放源代码库中的漏洞-当前,它正在标记所有Apache Camel依赖项<2.24.0的应用程序,包括不包含任何camel-xmljson版本的应用程序。我正在尝试确定这是否是正确的曝光。如果应用程序不包含camel-xmljson,那么是否有可能遭受XXE攻击。
答案 0 :(得分:0)
完全没有暴露,如果您使用camel-xmljson
组件,则该组件仅为 ,该组件的第三库JAR具有安全漏洞(例如,它不是真正的骆驼,而是第三方JAR本身)