漏洞预警|hutool 存在反序列化漏洞

最新推荐文章于 2024-05-03 11:47:20 发布
最新推荐文章于 2024-05-03 11:47:20 发布
阅读量579 收藏
点赞数
分类专栏: 漏洞预警 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/128855775
版权

棱镜七彩安全预警

近日网上有关于开源项目 hutool 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。

项目主页

https://hutool.cn/

代码托管地址

https://gitee.com/dromara/hutool/

CVE编号

CVE-2023-24162

漏洞情况

hutool是一款采用java开发的工具类库。

该项目受影响版本存在反序列化漏洞, 由于XmlUtil.readObjectFromXml方法调用XMLDecoder.readObject解析xml数据,未对输入的XML字符串进行安全检查,导致远程攻击者可以通过控制XML字符串进而执行任意代码。

受影响的版本

cn.hutool:hutool-core@(-∞,5.8.11]

修复方案

官方暂未发布补丁,建议用户对输入的XML数据添加安全校验,参考链接:https://gitee.com/dromara/hutool/issues/I6AEX2

链接地址:

NVD - CVE-2023-24162

XmlUtil 反序列化漏洞 · Issue #I6AEX2 · dromara/hutool - Gitee.com

查看更多安全漏洞:快速查询安全漏洞 | 柒巧板

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
预警即预防:6大常见数据库安全漏洞
12-14
总有大批创意百出的黑客不断捣鼓出超狡猾的新方法染指各类数据。然后,更多不那么聪明的黑客不断重复老旧套路——因为同样老旧的漏洞一直在全球各个企业里涌现。   无论如何,数据泄露总是破坏性的;但更糟的是,要怎么向受影响的用户、投资人和证监会交代呢?一家公司上千万用户的个人数据,总不会自己长脚跑到黑市上躺着被卖吧?于是,在各种监管机构找上门来问一些很难堪的问题之前,我们还是来看看这几个常见的数据库安全漏洞吧。   一、数据库安全重要性上升   只要存储了任何人士的任意个人数据,无论是用户还是公司员工,数据库安全都是重中之重。然而,随着黑市对数据需求的上升,成功数据泄露利润的上涨,数据库安全解决
hutool工具版本升级后部分API无法使用
记录,交流,共同进步
04-27 1008
如果升级到高版本,使用的某些api可能会没有或者其它情况出现;5.3.8有问题,升级到5.8.12后解决。初始化集合的地方有些API没有了.hutool版本升级后代码中使用。使用**【hutool】调用外部接口,使用了【发现是我们目标使用的。
No serializer found for class cn.hutool.json.JSONNull and no properties discovered to create BeanSer
zoro_Dcup的专栏
09-14 5883
项目背景: 后台通过JSONObject形式存入到redis,前台通过hutool方式将jsonstring转换为jsonobject对象使用时报错,错误信息如标题所示。 搜索问题发现有大佬说: Hutool会使用JSONNull来表示空值,而SpringBoot默认使用的序列化是Jackson,在接口调用过程中使用了Map,直接传入了Hutool的JSONObject,而该Map存在空值,所以存在JSONNull,最终导致错误。 我的解决方案为不通过hutool工具来转换,也即 JSONObj
Jono's Linux Top Tips
热门推荐
ldong2007的专栏
04-01 1万+
  Jonos Linux Top Tips by Jono Woodhouse-------------------------14 May 2008 : Jono WoodhouseVersion 2.22------------------------------------------------------------------------
解决JSONNull导致的JSONObject序列化问题
cxclll的博客
03-19 2528
当前项目遇到一个问题,就是深层嵌套的json(cn.hutool.json.JSONObject)结构如果当中有某个key的值是null,序列化时就会报JSONNull错误,在网上搜了一下,并没有找到解决方法。思考了一下,可以将value值是null的元素替换成"",由于是深层递归,采用递归方法,话不多说,直接上代码 private void removeNull(JSONObject obj...
记录一次-hutool json包替换fastjson包问题
weixin_51549005的博客
02-02 393
Hutool的Json里用JSONNull对象代替了null,而且JSONNull类没有适用于Jackson序列化的序列化器,此时如果接口返回值对象里使用了Hutool的Json,又凑巧存在被JSONNull对象代替了的null值,则返回序列化值时会出现以上的异常。Jsckson是SpringBoot内置的一个json和xml的框架,如果在springboot项目中rest接口返回的结果是自定义对象,则默认会使用Jackson的序列化工具将对象序列化为Json再返回。2.用json进行取数。
使用Hutool-json工具包中的JSONUtil.toJsonStr()方法序列化,对象数据中值为null的属性被过滤的问题
kyrielx的博客
11-09 1万+
使用Hutool-json工具包中的JSONUtil.toJsonStr()方法序列化,对象数据中值为null的属性被过滤的问题
在学习hutool时遇到的一些问题
lu127的博客
09-28 2386
在初步使用hutool时可能遇到的情况
栈内存溢出
u012102536的博客
12-28 1740
补充下我谈一下自己的看法(我们的讨论限定于比较常见的HotSpot VM): 1.线程栈内存:线程创建时,线程占用的栈内存大小可以通过-Xss设置,那么我们可以认为 栈的深度X栈桢所占用内存=线程的栈内存大小。那么对一个线程而言,是会先达到线程的栈深度限制(StackOverFlowError)还是线程的栈内存限制(OOME)呢?栈深度在栈内存足够的情况下,不能一直去增加栈桢来加深吗? 2
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到...
「工控安全」爱康集团信息安全建设 - 漏洞预警.zip
11-09
「工控安全」爱康集团信息安全建设 - 漏洞预警 端点安全 安全资讯 等级保护 数据安全 安全实践
「数据库安全」欧盟数字身份进展情况研究 - 漏洞预警.zip
11-26
「数据库安全」欧盟数字身份进展情况研究 - 漏洞预警 防火墙 云安全 攻防靶场 Web安全 安全资讯
非常见SQL注入漏洞及利用 Unusual SQL injection vulnerabilities and how to exploit them
zhaohengyuan的专栏
04-08 7894
by By ogdan Calin    在本篇文章中,我会谈到一些不常见的SQL注入漏洞,并且说明如何利用这些漏洞。    和最近所报道的一些典型的SQL注入不同,在这种形式的注入漏洞中,攻击者可以控制SQL语句中的 ORDER BY,LIMIT或者GROUP BY 子句。    本篇文章中所有的示例都采用MySql做为终端数据库,这些技巧也可以用到其他数据库中。    
No serializer found for class cn.hutool.json.JSONNull and no properties discovered to create
Layman的博客
08-02 1076
No serializer found for class cn.hutool.json.JSONNull and no properties discovered to create
关于hutool BeanUtil.copyProperties 赋值覆盖问题
CelineT的博客
02-17 9709
关于hutool BeanUtil.copyProperties null值覆盖问题
XmlUtil.readObjectFromXml的坑及解决方法
槐殇雪的博客
12-28 1543
这里写自定义目录标题Java辅助类工具箱HutoolXML工具-XmlUtil上代码,描述问题解决方案 Java辅助类工具箱Hutool 关于Hutool的使用参考官方文档 官方文档 XML工具-XmlUtil XmlUtil工具前面几个用的都挺好的,就是关于XML与对象的转换那里,我懵逼了。 readObjectFromXml 从XML中读取对象。 这个介绍就有点敷衍了吧,用的时候果然我就出行问题。 上代码,描述问题 Student student = new Student("asd"
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 1199
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
OpenResty漏洞
07-28
OpenResty存在两个漏洞,一个是目录穿越漏洞,另一个是内存泄漏漏洞。目录穿越漏洞是指在特殊配置下,攻击者可以通过构造恶意请求,绕过访问控制,访问到服务器上的敏感文件或目录。内存泄漏漏洞是指在特殊配置下,攻击者可以通过发送恶意请求,导致服务器内存泄漏,可能会影响服务器的性能和稳定性。这两个漏洞都影响了Nginx和OpenResty的特定版本。建议用户尽快采取安全措施,禁用相关危险配置,并平滑升级Nginx到最新版以修复这些漏洞。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Nginx/OpenResty内存泄漏/目录穿越漏洞复现](https://blog.csdn.net/sacredbook/article/details/105888606)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【漏洞预警】Nginx/OpenResty 特殊配置下内存泄漏与目录穿越漏洞](https://blog.csdn.net/xia296/article/details/106312072)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值