[信息安全] CVE-2022-34169 这个有人在跟么?

危害上。
直接远程本地执行

触发条件上。
比较低
只要有 XML xslt 转换使用场景的
类似最近还算流行的,做图数据分析,展现用的 SVG-DOM 类的库,都会有使用;
其他类似有前端输入复杂格式,然后 xslt 转换可能的,也有风险

影响范围上。
直接在 JDK 内就漏了,各 JDK 7~18 版本都受影响。直到最近一周 Oracle/Openjdk 才有修
然后看 xalan 社区还是一个半死不活的状态,里面几个领头的一直想把这个直接从 jdk 里面退掉…

目前还没有 POC

发表评论

您的电子邮箱地址不会被公开。