作者:EnsecTeam
公眾號:EnsecTeam
0x00 概述
JavaMelody是一個用來對Java應用進行監控的組件。通過該組件,用戶可以對內存、CPU、用戶session甚至SQL請求等進行監控,並且該組件提供了一個可視化界面給用戶使用。
最近,該組件被爆出一個XXE漏洞——CVE-2018-15531,由於該組件的啟動特性,攻擊者無需特定的權限即可發起攻擊。
0x01 漏洞復現
我們使用SpringBoot web來搭建基礎項目,然後將JavaMelody集成進來,在maven中配置如下:
转载请注明:IAMCOOL » JavaMelody 組件 XXE 漏洞解析