V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
matepi
V2EX  ›  信息安全

CVE-2022-34169 这个有人在跟么?

  •  
  •   matepi · 2022-07-27 09:56:20 +08:00 · 3207 次点击
    这是一个创建于 883 天前的主题,其中的信息可能已经有所发展或是发生改变。

    危害上。 直接远程本地执行

    触发条件上。 比较低 只要有 XML xslt 转换使用场景的 类似最近还算流行的,做图数据分析,展现用的 SVG-DOM 类的库,都会有使用; 其他类似有前端输入复杂格式,然后 xslt 转换可能的,也有风险

    影响范围上。 直接在 JDK 内就漏了,各 JDK 7~18 版本都受影响。直到最近一周 Oracle/Openjdk 才有修 然后看 xalan 社区还是一个半死不活的状态,里面几个领头的一直想把这个直接从 jdk 里面退掉…

    目前还没有 POC

    4 条回复    2022-07-27 10:48:44 +08:00
    janxin
        1
    janxin  
       2022-07-27 10:03:13 +08:00
    wxd21020
        2
    wxd21020  
       2022-07-27 10:26:01 +08:00
    怎么办,自己引用别的 JDK 么
    lxghost
        3
    lxghost  
       2022-07-27 10:34:48 +08:00
    matepi
        4
    matepi  
    OP
       2022-07-27 10:48:44 +08:00
    @janxin 也就是必须要用了 TransformerFactory 的 XSLTC 特性 XSLT compilation feature ,类似要有

    TransformerFactory.setAttribute("jar-name", "xxxx.jar")

    之后才能触发?

    然后就是,从防御角度,有什么办法全局显式关闭 XSLTC 特性么?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1071 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 19:37 · PVG 03:37 · LAX 11:37 · JFK 14:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.