发现您的项目中可能存在XXE漏洞(CVE-2021-3869、CVE-2021-3878) #80
Comments
|
历史版本可能存在这个问题,暂时解决方案:启动指令请带上 -Dlog4j2.formatMsgNoLookups=true ,可以避免此类漏洞带来的可能安全问题 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
我发现您的项目中
cf-framework-parent/cf-framework-utils/src/main/java/com/cf/framework/utils/StringTools.java文件中的com.cf.framework.utils.StringTools.xmlToMap(String xml)函数在创建documentBuilderFactory对象的时候没有限制外部实体的使用,可能会造成外部实体注入漏洞,进而导致关键信息泄露的问题,可以参考CVE-2021-3869、CVE-2021-3878这两个CVE,他们的参考链接如下:考虑到其可能存在的潜在风险,我愿意配合您以负责任的方式及时核实、解决和报告发现的漏洞。 如果您需要任何进一步的信息或帮助,请随时与我联系。如果需要,我也可以提交PR帮助您修复。 谢谢您,期待尽快收到您的回复!
The text was updated successfully, but these errors were encountered: