xercesImpl

https://github.com/hunterhacker/jdom/pull/188/commits/bd3ab78370098491911d7fe9d7a43b97144a234e
https://mvnrepository.com/artifact/org.jdom/jdom2/2.0.6
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23437
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0881
https://mvnrepository.com/artifact/xerces/xercesImpl/2.12.1

Jdom2

https://alephsecurity.com/vulns/aleph-2021003

技术细节

在使用 JDOM 库时，我们在 SAXBuilder 类中发现了一个可能导致 XXE 漏洞的错误。根据 OWASP，为了避免 XXE 漏洞，我们需要使用 setFeature() 方法将解析器配置为不允许外部实体，其值如下：
parser.setFeature(“http://xml.org/sax/features/external-general-entities“, false).
我们发现在此功能中设置哪个值并不重要。无论是真还是假，external-general-entities 都将使用来自 Expand Entity 的值。
我们建议的代码修复是设置用户指定的特性应该在设置实体扩展之后完成。由于该用户指定的配置应具有更高的优先级以避免 XXE。

CVE安全漏洞威胁情报（可公开）

【20220224】Jdom和X sercesImpl的XXE

xercesImpl

Jdom2

技术细节