BlazeDS中的XML外部實體(XXE)漏洞

Last update: Tue Nov 25 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

適用對象：
Experience Manager 6.5

主題：
適用性表單

建立對象：

管理員

| 也適用於JEE上的AEM Forms、數位企業平台 |

Adobe已收到BlazeDS中XML External Entity (XXE)漏洞(CVE-2015-3269)的通知。為了追溯修正LiveCycle Data Services (LCDS)中內嵌的BlazeDS發行版本中的弱點，Adobe已發行修補程式，其中包括flex-messaging-core.jar檔案中的修正。

執行以下步驟來取得並套用修正程式：

有下列LCD版本的修補程式可用。請參閱Adobe安全性公告以取得詳細資訊，並下載LCDS版本的修補程式。
- LCDS 3.0.0.354170
- LCDS 3.1.0.354173
- LCDS 4.5.1.354169
- LCDS 4.6.2.354169
- LCDS 4.7.0.354169
導覽至修補程式目錄，並複製flex-messaging-core.jar檔案。
將LCDS應用程式中的flex-messaging-core.jar檔案取代為步驟2中複製的檔案。

編輯LCDS應用程式中的services-config.xml檔案，將allow-xml-external-entity-expansion屬性的值指定為false。預設值為true。

此外，請在channel/channel-definition/properties/serialization新增屬性。例如：

code language-none

code language-none
`\|<services-config..> \| ---- <channels..> \| ---- <channel-definition ...> \| ---- <properties> \| ---- <serialization> \| ---- <allow-xml-external-entity-expansion> false </allow-xml-external-entity-expansion>`

|<services-config..>

|

---- <channels..>

    |

    ---- <channel-definition ...>

        |

        ---- <properties>

            |

            ---- <serialization>

                |

                ---- <allow-xml-external-entity-expansion>
                        false
                    </allow-xml-external-entity-expansion>

note note
NOTE
預設值true會維持回溯相容性，必須關閉此值，才能將XML剖析器設定為停用XML外部實體(XXE)處理中所述的實體擴充。

NOTE

套用修補程式後，如果遇到下列錯誤，表示您的XML剖析器不支援external-general-entities功能。因此，您需要更新XML剖析器，例如Xerces 2.9.1。

Error deserializing XML type jaxp_feature_not_supported: Feature "http://xml.org/sax/features/external-general-entities" is not supported

法律注意事項 | 線上隱私權原則

recommendation-more-help

19ffd973-7af2-44d0-84b5-d547b0dffee2