最新消息:图 床

spring-data-XMLBean XXE復現分析

COOL IAM 140浏览 0评论

作者:spoock
作者博客:https://blog.spoock.com/2018/05/16/cve-2018-1259/

漏洞信息

看pivotal發布的漏洞信息如下:
spring-data-XMLBean XXE復現分析

通過發布的漏洞信息可以知道,漏洞組件是在XMLBeam1.4.14或者是更早的版本,主要原因是沒有限制XML文件外部實體引用。而Spring Data Commons的某些版本中使用了存在漏洞的XMLBeam組件。

環境搭建

下載demo環境

git clone https://github.com/spring-projects/spring-data-examples.git
cd spring-data-examples
git checkout ad2b77e

使用IDEA打開其中的web/projection項目,修改其中的pom.xml文件:
修改spring-data-commons的版本

<dependency>
    <groupId>org.springframework.data</groupId>
    <artifactId>spring-data-commons</artifactId>
    <version>2.0.5.RELEASE</version>
</dependency>

添加spring-boot的依賴

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.0.0.RELEASE</version>
</parent>

漏洞組件版本如下:

转载请注明:IAMCOOL » spring-data-XMLBean XXE復現分析

0 0 vote
Article Rating
Subscribe
Notify of
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x