The XMLChangeLogSAXParser() function in Liquibase prior to version 4.8.0 contains an issue that may lead to to Improper Restriction of XML External Entity Reference.
    XMLChangeLogSAXParser 的parse功能存在XXE
    参考链接:https://github.com/advisories/GHSA-jvfv-hrrc-6q72
    受影响版本:
    < 4.8.0
    Poc:
    new XMLChangeLogSAXParser().parse(“changelog.xml”, new ChangeLogParameters(), new JUnitResourceAccessor());
    利用条件:
    第一个参数可控,且需要结合文件上传漏洞
    受影响的资产:stc排查在受影响的版本范围内有8个应用资产
    接下来处置:白盒扫描一下看受影响的资产的第一个参数是否可控