攻击者上传恶意的压缩文件;解压文件的代码存在Zip Slip漏洞;压缩文件内的可执行文件覆盖了上级目录的可...
漏洞本质上是 java 原生方法中的漏洞,XMLDecoder.readObject 。所以不去调用 hutool-all 中的readObjectFromXml 方法 就可以避免这个漏洞的产生。 漏洞修复 在最新版的 hutool-all 没有用黑名单,而是直接移除了readObjectFromXml 方法,简单粗暴。 XMLDecoder.readObject <java><objectclass="java.lang...
漏洞本质上是 java 原生方法中的漏洞,XMLDecoder.readObject 。所以不去调用 hutool-all 中的readObjectFromXml方法 就可以避免这个漏洞的产生。 漏洞修复 在最新版的 hutool-all 没有用黑名单,而是直接移除了readObjectFromXml方法,简单粗暴。 XMLDecoder.readObject <java> <array class="java.lang.String" length=...
<artifactId>hutool-all</artifactId> <version>5.8.11</version> </dependency> readObjectFromXml方法如下 通过下面代码可知,readObjectFromXml方法直接封装了java.beans.XMLDecoder#readObject java.beans.XMLDecoder#readObject是java 自带的方法,其实xmldecoder反序列化的问题最早在2013年就被提出了,这里不在深究...
漏洞本质上是 java 原生方法中的漏洞,XMLDecoder.readObject 。所以不去调用 hutool-all 中的readObjectFromXml 方法 就可以避免这个漏洞的产生。 漏洞修复 在最新版的 hutool-all 没有用黑名单,而是直接移除了readObjectFromXml 方法,简单粗暴。
漏洞发布于2023年2月1日,当时cn.hutool:hutool-all 的最新版本为:5.8.11,5.8.12版本于2月9日发布并同步到maven仓库,github advisory于2月15日更新了漏洞信息,但是并未将受影响的最新版本进行同步,且之后并未有过漏洞信息的更新,于是mvnrepository中的cn.hutool:hutool-all 组件5.8.12及之后版本并未显示该漏洞...
漏洞修复最新版本的hutool-all已移除readObjectFromXml方法,通过直接移除漏洞点来防止此类攻击。漏洞触发与执行流程漏洞触发时,XML解析过程会通过一系列步骤,如ProcessBuilder的start方法,最终在DocumentHandler的endElement方法中,通过StringElementHandler和VoidElementHandler的endElement方法,实现了命令执行。这个...
<artifactId>hutool-all</artifactId> <version>5.8.11</version> </dependency> 漏洞复现 漏洞分析 readObjectFromXml方法如下 通过下面代码可知,readObjectFromXml方法直接封装了java.beans.XMLDecoder#readObject ...
漏洞复现 我们在maven仓库中查找 Hutool https://mvnrepository.com/search?q=Hutool 把依赖复制出来,添加到项目的 pom.xml 文件中 cn.hutool hutool-all 5.8.11 添加完成后刷新一下 maven 依赖 我们编写... 查看原文 ?hutool XML反序列化漏洞(CVE-2023-24162)...
【extra 】 修复CVE-2023-24163漏洞(issue#I6AJWJ@Gitee) 5.8.20(2023-06-16) 🐣新特性 【core 】 UrlQuery增加setStrict方法,区分是否严格模式(issue#I78PB1@Gitee) 【poi 】 添加系列方法writeCol,以支持按列输出(pr#1003@Gitee) 【core 】 CollUtil新增anyMatch和allMatch方法(pr#1008@Gitee) ...