CVE-2025-64518CVE-2025-64518是CycloneDX cyclonedx-core-java库中的一个XML外部实体(XXE)注入漏洞。该漏洞存在于XML验证器中,从版本2.1.0开始就存在,直到11.0.1版本才被修复。值得注意的是,此前针对CVE-2024-38374(GHSA-683x-4444-jxh8)的修复是不完整的,它只修复了XML BOM解析过程中的安全问题,但并未修复验证环节的XXE漏洞。这使得攻击者可以通过构造恶意的XML文档来触发XXE攻击,读取服务器上的敏感文件。CVSS评分7.5,属于高危漏洞,攻击复杂度低,无需认证和用户交互即可利用。
CycloneDX core模块的XML Validator在验证SBOM(软件物料清单)时未正确配置XML解析器的安全设置。问题出在SchemaFactory的配置上,缺少对外部实体的禁用设置。攻击者可以通过在XML文档中嵌入恶意DOCTYPE定义,引用外部实体来读取本地文件或发起SSRF攻击。例如,使用<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>这样的构造可以让解析器读取服务器上的敏感文件。由于该漏洞影响的是验证阶段而非解析阶段,之前针对CVE-2024-38374的补丁未能覆盖这一攻击面。攻击者只需向cyclonedx-core-java提交一个特制的XML文件进行验证,即可触发漏洞。