危害上。
直接远程本地执行
触发条件上。
比较低
只要有 XML xslt 转换使用场景的
类似最近还算流行的,做图数据分析,展现用的 SVG-DOM 类的库,都会有使用;
其他类似有前端输入复杂格式,然后 xslt 转换可能的,也有风险
影响范围上。
直接在 JDK 内就漏了,各 JDK 7~18 版本都受影响。直到最近一周 Oracle/Openjdk 才有修
然后看 xalan 社区还是一个半死不活的状态,里面几个领头的一直想把这个直接从 jdk 里面退掉…
目前还没有 POC