漏洞预警|hutool 存在反序列化漏洞
棱镜七彩安全预警
近日网上有关于开源项目 hutool 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。
项目主页
https://hutool.cn/
代码托管地址
https://gitee.com/dromara/hutool/
CVE编号
CVE-2023-24162
漏洞情况
hutool是一款采用java开发的工具类库。
该项目受影响版本存在反序列化漏洞, 由于XmlUtil.readObjectFromXml方法调用XMLDecoder.readObject解析xml数据,未对输入的XML字符串进行安全检查,导致远程攻击者可以通过控制XML字符串进而执行任意代码。
受影响的版本
cn.hutool:hutool-core@(-∞,5.8.11]
修复方案
官方暂未发布补丁,建议用户对输入的XML数据添加安全校验,参考链接:https://gitee.com/dromara/hutool/issues/I6AEX2
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2023-24162
https://gitee.com/dromara/hutool/issues/I6AEX2
