Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
Advertisement
matepi

CVE-2022-34169 这个有人在跟么?

  •   
  •   matepi · Jul 27, 2022 · 3791 views
    This topic created in 1376 days ago, the information mentioned may be changed or developed.

    危害上。 直接远程本地执行

    触发条件上。 比较低 只要有 XML xslt 转换使用场景的 类似最近还算流行的,做图数据分析,展现用的 SVG-DOM 类的库,都会有使用; 其他类似有前端输入复杂格式,然后 xslt 转换可能的,也有风险

    影响范围上。 直接在 JDK 内就漏了,各 JDK 7~18 版本都受影响。直到最近一周 Oracle/Openjdk 才有修 然后看 xalan 社区还是一个半死不活的状态,里面几个领头的一直想把这个直接从 jdk 里面退掉…

    目前还没有 POC

  • jdk
  • xslt
  • svg-dom
  • poc
    4 replies    2022-07-27 10:48:44 +08:00
    janxin
        1
    janxin  
       Jul 27, 2022
    https://twitter.com/JFrogSecurity/status/1551693693371011074

    结论是不普遍的问题
    wxd21020
        2
    wxd21020  
       Jul 27, 2022
    怎么办,自己引用别的 JDK 么
    matepi
        4
    matepi  
    OP
       Jul 27, 2022
    @janxin 也就是必须要用了 TransformerFactory 的 XSLTC 特性 XSLT compilation feature ,类似要有

    TransformerFactory.setAttribute("jar-name", "xxxx.jar")

    之后才能触发?

    然后就是,从防御角度,有什么办法全局显式关闭 XSLTC 特性么?
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   882 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 19:01 · PVG 03:01 · LAX 12:01 · JFK 15:01
    ♥ Do have faith in what you're doing.