Hutool资源消耗漏洞 CVE-2022-4565

最新推荐文章于 2024-07-09 12:44:46 发布
最新推荐文章于 2024-07-09 12:44:46 发布
阅读量949 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞分享 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/INSBUG/article/details/132105207
本文详细描述了Hutool-core组件中的资源消耗漏洞CVE-2022-4565,涉及ZipUtil的unzip函数可能导致的DoS攻击。漏洞源于默认不限制解压大小,通过构造ZipBomb文件可引发严重资源耗尽。文章还提供了升级版本、代码修复和磁盘配额设置等多种修复方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

图片

0x01 概述

Hutool 是一个Java工具库,提供了丰富的工具和方法,方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点,被广泛用于Java开发中。

笔者通过对数百个真实项目引入组件的分析选出了Hutool组件的常见漏洞进行分析。本次分析的是CVE-2022-4565,Hutool-core执行unzip操作时的资源消耗漏洞。

0x02 组件使用场景

Hutool-core组件包括Bean操作、日期、各种Util等,其中的ZipUtil类在压缩文件,解压文件等操作会被使用。

0x03 漏洞信息

3.1 漏洞简介

漏洞名称:资源消耗漏洞

漏洞编号:CVE-2022-4565

漏洞类型:CWE-400 不受控制的资源消耗

CVSS评分:CVSS v3.1:7.5

漏洞危害等级:高危

3.2 漏洞概述

该库的ZipUtil类的unzip函数默认不检测压缩文件的解压大小,因此解压压缩文件的时候可能造成资源消耗

3.3 漏洞利用条件

使用Hutool默认的unzip函数,

最低0.47元/天 解锁文章

200万优质内容无限畅学
Hutool 路径遍历漏洞 CVE-2018-17297
INSBUG的博客
07-28 546
创建File对象的时候会调用checkSlip函数,该函数会通过获取传入文件的规范路径来消除路径的冗余和符号链接,然后检查file的规范路径是否以parentFile的规范路径开头,如果不是,则说明file不在parentFile目录下,将抛出异常;这是一种安全性检查,以确保文件在指定的父目录下,防止越界访问。该漏洞在权限设置不当的情况下可以实现任意文件覆盖的效果,覆盖一些敏感文件如/etc/passwd或ssh连接私钥,这样可能导致服务器被远程控制,并且在特定的情况下也可能造成远程命令执行。
漏洞复现-hutool XML反序列化漏洞(CVE-2023-24162)
玄道的网安博客
08-12 1001
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。在最新版的 hutool-all 没有用黑名单,而是直接移除了 readObjectFromXml方法cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)当然这个地方也是可以通过读取文件来实现的。
hutool XML反序列化漏洞(CVE-2023-24162)
蚁景网安学院
03-06 1250
漏洞简介:Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。
漏洞深度分析|CVE-2023-24162 hutool XML反序列化漏洞
LJQClqjc的博客
02-02 2978
漏洞深度分析
悟空云课堂 | 第三十二期:不受控制的资源消耗(CWE-400:Uncontrolled Resource Consumption)
Tianqi_Wukong的博客
01-20 1123
悟空云课堂 | 第三十二期:不受控制的资源消耗(CWE-400:Uncontrolled Resource Consumption) 01 什么是不受控制的资源消耗缺陷? 软件无法正确控制有限资源的分配和维护,从而使参与者无法影响所消耗资源量,最终导致可用资源的耗尽。有限的资源包括内存,文件系统存储,数据库连接池条目和CPU。 如果攻击者可以触发这些有限资源的分配,但是资源的数量或大小不受控制,则攻击者可能会导致拒绝服务,从而消耗所有可用资源。这将阻止有效用户访问该软件,并且可能对周围环境产生影响。 例如
漏洞预警|hutool 存在反序列化漏洞
LJQClqjc的博客
02-02 942
七彩安全漏洞预警
开源项目hutool之zip_slip漏洞
weixin_30455067的博客
07-09 1185
今天突然看到了去年写的一篇漏洞分析文章,搬到博客上 ---------------- Hutool是Github上的一个开源项目,是一个java的工具包,对文件、流、加密解密、转码、正则、线程、XML等JDK方法进行封装,组成各种Util工具类,同时还提供一些其他的组件。目前在Github上已经有了2k+的Star。 Github地址:https://github.com/looly/hut...
hutool工具包的json工具有漏洞
qq_58616732的博客
04-22 720
hutool工具包只能导入141条数据(不知道哪里有问题)阿里的fastjson能导入所有的199条数据。还是得用大厂的工具啊!在向es批量导入数据时。
Hutool证书验证漏洞 CVE-2022-22885
INSBUG的博客
08-25 898
修复后,如下图所示,在执行Https请求时,程序会自动校验hostname和从证书获取的主体名称。如此就不会遭受证书域名不匹配的不安全站点的攻击。该漏洞产生的原因在于Hutool HttpUtil的setInfo函数传入的hostNameVerfier默认的为TRUST_ANY_HOSTNAME_VERIFIER。若泄露的信息涉及密钥等可供验证的内容,会导致密钥对应设备被入侵。该库的HttpRequest类默认的HostnameVerifier信任所有的hostname,并不对服务器证书进行校验。
Java Hutool TriggerContainer介绍
奶萝卜的博客
02-28 580
Java Hutool TriggerContainer介绍 一.什么是TriggerContainer TriggerContainer是啥,自从Hutool从5.7.24版本后,增加了一个新的类。它就是TriggerContainer。 为啥把它叫做触发容器, 它的存在到底能解决哪些问题?相比其他容器它有哪些优势呢? 请不要着急,这还要从上周我遇到的那个需求说起,那可真不是一个美好的回忆。 二.业务介绍 为了讨论一些纯粹的技术,请容许我隐瞒一些业务细节,我将用最简单的话将清楚上周到底发生了什么。 那天,
安全研究:Spring-Core RCE(CVE-2022-22965)Vulnerability利用和修复建议
lvx++的博客
04-14 5107
目录一、新建SpringBoot项目二、添加修改项目文件并打包war文件(一)打开rce文件夹,修改pom.xml,将springboot版本改为2.6.5(二)新建实体类User.java(三)新建控制器类GreetingController.java(四)打包war文件三、部署到TOMCAT运行(一)下载TOMCAT(二)将项目target目录下的war包复制到webapp下并改名为ROOT.war(三)启动tomcat四、Vulnerability利用五、Spring官方修补建议六、总结 环境: We
CVE-2022-25845 反序列化漏洞分析
把梦想放飞在蓝色的天空里...
09-20 8457
CVE-2022-25845 反序列化漏洞分析
IO之反序列化漏洞
摸魚散人的博客
07-09 1068
Hutool提供的XML实用程序类在使用XmlUtil.readObjectFromXml解析不受信任的XML字符串时可能容易受到远程代码执行的攻击。这个Java代码段执行的操作与XML描述的操作相同,创建了一个。对象的序列化表示,并且调用了它的。这个XML片段描述了一个。命令,并启动该命令。
[漏洞分析] CVE-2022-2588 route4 double free内核提权
热门推荐
Breeze的博客
10-14 1万+
本文分析CVE-2022-2588 的漏洞原理以及漏洞利用方法Dirty Cred。
高风险组件漏洞及修复办法「持续补充更新」
背锅神童的博客
09-18 4567
漏洞漏洞修复、系统漏洞、权限提升漏洞、本地权限提升、注入漏洞、反序列化漏洞、身份认证绕过漏洞、远程代码执行漏洞、系列漏洞
JSONP漏洞详解,2024年最新网络安全布局优化之include、merge、ViewStub的使用
2401_83739434的博客
04-15 576
JSONP是基于JSON格式的为解决跨域请求资源而产生的解决方案。实现的基本原理就是动态创建JSONP有两部分组成:回调函数和数据。回调函数就是当响应到来时应该在页面中调用的函数。数据就是传入回调函数中的JSON数据。
Java代码审计——H2 Rce CVE-2021-42392
王嘟嘟的博客
01-11 3085
0x00 前言 H2数据库是一个开源的关系型数据库。 H2是一个采用java语言编写的嵌入式数据库引擎,只是一个类库(即只有一个 jar 文件),可以直接嵌入到应用项目中,不受平台的限制。 下面这个是CVE信息 0x01 漏洞复现 首先需要下载一个H2,然后直接启动,启动页面如下 这里我们使用典型的javax.naming.InitialContext JNDI进行测试:具体的JNDI可参考Java代码审计——Fastjson < 24 反序列 点击连接或者测试连接之后即可触发。 0x02 调用链
『Java CVECVE-2022-33980: Apache Commons Configuration 读文件RCE
Ho1aAs‘s Blog
08-02 2213
从2.4版本开始,一直到2.7版本,默认的Lookup实例集包括可能导致任意代码执行或与远程服务器联系的插值器。这些查找器是-“script”-使用JVM脚本执行引擎(javax.script)执行表达式-“dns”-解析dns记录-“url”-从urls加载值,包括从远程服务器加载值如果使用不受信任的配置值,使用受影响版本中的插值默认值的应用程序可能会受到远程代码执行或无意中与远程服务器接触的影响。方法,也就是调用prefix对应插值器的lookup方法查找name对应的值。......
vulhub远程执行命令漏洞CVE-2022-22963
最新发布
12-27
### Vulhub 中 CVE-2022-22963 远程命令执行漏洞详情 #### 漏洞描述 CVE-2022-22963 是一个存在于 Spring Cloud Function 的 SpEL (Spring Expression Language) 表达式注入漏洞。此漏洞允许攻击者通过 `spring....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值