棱镜七彩安全预警
近日网上有关于开源项目 hutool 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。
项目主页
https://hutool.cn/
代码托管地址
https://gitee.com/dromara/hutool/
CVE编号
漏洞情况
hutool是一款采用java开发的工具类库。
该项目受影响版本存在反序列化漏洞, 由于XmlUtil.readObjectFromXml方法调用XMLDecoder.readObject解析xml数据,未对输入的XML字符串进行安全检查,导致远程攻击者可以通过控制XML字符串进而执行任意代码。
受影响的版本
cn.hutool:hutool-core@(-∞,5.8.11]
修复方案
官方暂未发布补丁,建议用户对输入的XML数据添加安全校验,参考链接:https://gitee.com/dromara/hutool/issues/I6AEX2
链接地址:
XmlUtil 反序列化漏洞 · Issue #I6AEX2 · dromara/hutool - Gitee.com
查看更多安全漏洞:快速查询安全漏洞 | 柒巧板