BlazeDS 中的 XML 外部实体（XXE）漏洞

Last update: Tue Nov 25 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

适用对象：
Experience Manager 6.5

主题：
自适应表单

创建对象：

管理员

| 也适用于JEE上的AEM Forms、数字企业平台 |

Adobe已收到BlazeDS中存在XML外部实体(XXE)漏洞(CVE-2015-3269)的通知。为了以追溯方式修复嵌入到LiveCycle Data Services (LCDS)中的BlazeDS分发中的漏洞，Adobe已发布一个修补程序，其中包括对flex-messaging-core.jar文件中的修复。

执行以下步骤以获取并应用补丁程序：

有以下LCDS版本的修补程序可用。有关详细信息，请参阅Adobe安全公告，并下载适用于您的LCDS版本的修补程序。
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
导航到修补程序目录并复制flex-messaging-core.jar文件。
将LCDS应用程序中的flex-messaging-core.jar文件替换为步骤2中复制的文件。

编辑LCDS应用程序中的services-config.xml文件，将allow-xml-external-entity-expansion属性的值指定为false。默认值为true。

此外，在channels/channel-definition/properties/serialization处添加属性。例如：

code language-none

code language-none
`\|<services-config..> \| ---- <channels..> \| ---- <channel-definition ...> \| ---- <properties> \| ---- <serialization> \| ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>`

|<services-config..>

|

---- <channels..>

    |

    ---- <channel-definition ...>

        |

        ---- <properties>

            |

            ---- <serialization>

                |

                ---- <allow-xml-external-entity-expansion>
                        false
                    </allow-xml-external-entity-expansion>

note note
NOTE
默认值true保持向后兼容性，必须关闭它才能将XML解析器配置为禁用XML外部实体(XXE)处理中所述的实体扩展。

NOTE

应用修补程序后，如果遇到以下错误，则表示XML解析器不支持external-general-entities功能。因此，您需要更新XML解析器，例如Xerces 2.9.1。

Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported

法律声明 | 联机隐私策略

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2