Oracle MySQL JDBC XML外部實(shí)體注入漏洞 - 山西鑫鼎宸科技股份有限公司

我的位置：

Oracle MySQL JDBC XML外部實(shí)體注入漏洞

漏洞簡(jiǎn)介

1、組件介紹

MySQL是一個(gè)關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，由瑞典MySQL AB 公司開發(fā)，目前屬于Oracle旗下產(chǎn)品。MySQL 是當(dāng)前流行的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)之一。

2、漏洞描述

2021年10月21日，深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則Oracle MySQL組件在JDBC過程中存在XML外部實(shí)體注入漏洞的信息，漏洞編號(hào)：CVE-2021-2471，漏洞威脅等級(jí)：高危。

攻擊者可以利用該漏洞獲取服務(wù)器敏感信息，最終導(dǎo)致信息泄露。

MySQL 是當(dāng)前流行的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)之一，所提供的服務(wù)和產(chǎn)品眾多且應(yīng)用廣泛。此次可能受漏洞影響的資產(chǎn)也分布于世界各地，中國(guó)地區(qū)也使用廣泛。

目前受影響的Oracle MySQL版本：

Oracle MySQL < 8.0.27

暫無

官方修復(fù)建

當(dāng)前官方已發(fā)布對(duì)應(yīng)安全補(bǔ)丁，建議受影響用戶及時(shí)更新。參考鏈接如下：