作者:spoock
作者博客:https://blog.spoock.com/2018/05/16/cve-2018-1259/
漏洞信息
看pivotal發布的漏洞信息如下:
通過發布的漏洞信息可以知道,漏洞組件是在XMLBeam1.4.14或者是更早的版本,主要原因是沒有限制XML文件外部實體引用。而Spring Data Commons的某些版本中使用了存在漏洞的XMLBeam組件。
環境搭建
下載demo環境
git clone https://github.com/spring-projects/spring-data-examples.git cd spring-data-examples git checkout ad2b77e
使用IDEA打開其中的web/projection項目,修改其中的pom.xml文件:
修改spring-data-commons的版本
<dependency> <groupId>org.springframework.data</groupId> <artifactId>spring-data-commons</artifactId> <version>2.0.5.RELEASE</version> </dependency>
添加spring-boot的依賴
<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.0.RELEASE</version> </parent>
漏洞組件版本如下:
转载请注明:IAMCOOL » spring-data-XMLBean XXE復現分析