这是一个创建于 848 天前的主题,其中的信息可能已经有所发展或是发生改变。
危害上。 直接远程本地执行
触发条件上。 比较低 只要有 XML xslt 转换使用场景的 类似最近还算流行的,做图数据分析,展现用的 SVG-DOM 类的库,都会有使用; 其他类似有前端输入复杂格式,然后 xslt 转换可能的,也有风险
影响范围上。 直接在 JDK 内就漏了,各 JDK 7~18 版本都受影响。直到最近一周 Oracle/Openjdk 才有修 然后看 xalan 社区还是一个半死不活的状态,里面几个领头的一直想把这个直接从 jdk 里面退掉…
目前还没有 POC
 |
1
janxin 2022-07-27 10:03:13 +08:00
|
 |
2
wxd21020 2022-07-27 10:26:01 +08:00
怎么办,自己引用别的 JDK 么
|
 |
3
lxghost 2022-07-27 10:34:48 +08:00
|
Select Language