Hutool资源消耗漏洞 CVE-2022-4565

最新推荐文章于 2025-09-11 05:32:04 发布
原创 最新推荐文章于 2025-09-11 05:32:04 发布 · 1.0k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全

本文详细描述了Hutool-core组件中的资源消耗漏洞CVE-2022-4565,涉及ZipUtil的unzip函数可能导致的DoS攻击。漏洞源于默认不限制解压大小,通过构造ZipBomb文件可引发严重资源耗尽。文章还提供了升级版本、代码修复和磁盘配额设置等多种修复方法。

图片

0x01 概述

Hutool 是一个Java工具库,提供了丰富的工具和方法,方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点,被广泛用于Java开发中。

笔者通过对数百个真实项目引入组件的分析选出了Hutool组件的常见漏洞进行分析。本次分析的是CVE-2022-4565,Hutool-core执行unzip操作时的资源消耗漏洞。

0x02 组件使用场景

Hutool-core组件包括Bean操作、日期、各种Util等,其中的ZipUtil类在压缩文件,解压文件等操作会被使用。

0x03 漏洞信息

3.1 漏洞简介

漏洞名称:资源消耗漏洞

漏洞编号:CVE-2022-4565

漏洞类型:CWE-400 不受控制的资源消耗

CVSS评分:CVSS v3.1:7.5

漏洞危害等级:高危

3.2 漏洞概述

该库的ZipUtil类的unzip函数默认不检测压缩文件的解压大小,因此解压压缩文件的时候可能造成资源消耗

3.3 漏洞利用条件

使用Hutool默认的unzip函数,

最低0.47元/天 解锁文章
hutool XML反序列化漏洞(CVE-2023-24162)
蚁景网安学院
03-06 1400
漏洞简介:Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。
漏洞复现-hutool XML反序列化漏洞(CVE-2023-24162)
玄道的网安博客
08-12 1222
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。在最新版的 hutool-all 没有用黑名单,而是直接移除了 readObjectFromXml方法cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)当然这个地方也是可以通过读取文件来实现的。
Hutool 路径遍历漏洞 CVE-2018-17297
INSBUG的博客
07-28 630
创建File对象的时候会调用checkSlip函数,该函数会通过获取传入文件的规范路径来消除路径的冗余和符号链接,然后检查file的规范路径是否以parentFile的规范路径开头,如果不是,则说明file不在parentFile目录下,将抛出异常;这是一种安全性检查,以确保文件在指定的父目录下,防止越界访问。该漏洞在权限设置不当的情况下可以实现任意文件覆盖的效果,覆盖一些敏感文件如/etc/passwd或ssh连接私钥,这样可能导致服务器被远程控制,并且在特定的情况下也可能造成远程命令执行。
Hutool证书验证漏洞 CVE-2022-22885
INSBUG的博客
08-25 997
修复后,如下图所示,在执行Https请求时,程序会自动校验hostname和从证书获取的主体名称。如此就不会遭受证书域名不匹配的不安全站点的攻击。该漏洞产生的原因在于Hutool HttpUtil的setInfo函数传入的hostNameVerfier默认的为TRUST_ANY_HOSTNAME_VERIFIER。若泄露的信息涉及密钥等可供验证的内容,会导致密钥对应设备被入侵。该库的HttpRequest类默认的HostnameVerifier信任所有的hostname,并不对服务器证书进行校验。
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1
03-15
2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
漏洞预警|hutool 存在反序列化漏洞
LJQClqjc的博客
02-02 1162
七彩安全漏洞预警
漏洞深度分析|CVE-2023-24162 hutool XML反序列化漏洞
LJQClqjc的博客
02-02 3343
漏洞深度分析
Hutool项目安全漏洞CVE-2023-51075分析与修复方案
最新发布
gitblog_01417的博客
09-11 431
Hutool作为国内流行的Java工具库,近期被曝存在编号为CVE-2023-51075的安全漏洞。该漏洞涉及核心功能模块,可能在某些特定场景下导致安全风险。开发团队在5.8.24版本中已发布修复补丁。 ## 技术细节分析 该漏洞属于输入验证类安全问题,主要成因是未对特定类型的外部输入数据进行充分校验。当用户传入特殊构造的恶意数据时,可能导致以下两种风险场景: 1. **数据解析异常**:在处...
开源项目hutool之zip_slip漏洞
weixin_30455067的博客
07-09 1255
今天突然看到了去年写的一篇漏洞分析文章,搬到博客上 ---------------- Hutool是Github上的一个开源项目,是一个java的工具包,对文件、流、加密解密、转码、正则、线程、XML等JDK方法进行封装,组成各种Util工具类,同时还提供一些其他的组件。目前在Github上已经有了2k+的Star。 Github地址:https://github.com/looly/hut...
hutool工具包的json工具有漏洞
qq_58616732的博客
04-22 824
hutool工具包只能导入141条数据(不知道哪里有问题)阿里的fastjson能导入所有的199条数据。还是得用大厂的工具啊!在向es批量导入数据时。
hutool 解压缩读取源文件和压缩文件大小失败导致报错
fenglllle的博客
09-21 2544
最近处理老项目中的问题,升级安全jar,发现hutool的jar在解压缩的时候报错了,实际上是很简单的防御zip炸弹攻击的手段,但是却因为hutool的工具包取文件大小有bug,造成了解压缩不能用,报错:invalid sizes: compressed -1, uncompressed -1,理论上使用这个API的所有方法都有问题。影响范围hutool 5.8.11~5.8.16,5.8.17修复。 demo准备 构建一个demo吧:JDK8+hutool 5.8.16 没考虑流关闭问题,实际生
Java Hutool TriggerContainer介绍
奶萝卜的博客
02-28 618
Java Hutool TriggerContainer介绍 一.什么是TriggerContainer TriggerContainer是啥,自从Hutool从5.7.24版本后,增加了一个新的类。它就是TriggerContainer。 为啥把它叫做触发容器, 它的存在到底能解决哪些问题?相比其他容器它有哪些优势呢? 请不要着急,这还要从上周我遇到的那个需求说起,那可真不是一个美好的回忆。 二.业务介绍 为了讨论一些纯粹的技术,请容许我隐瞒一些业务细节,我将用最简单的话将清楚上周到底发生了什么。 那天,
安全研究:Spring-Core RCE(CVE-2022-22965)Vulnerability利用和修复建议
lvx++的博客
04-14 5212
目录一、新建SpringBoot项目二、添加修改项目文件并打包war文件(一)打开rce文件夹,修改pom.xml,将springboot版本改为2.6.5(二)新建实体类User.java(三)新建控制器类GreetingController.java(四)打包war文件三、部署到TOMCAT运行(一)下载TOMCAT(二)将项目target目录下的war包复制到webapp下并改名为ROOT.war(三)启动tomcat四、Vulnerability利用五、Spring官方修补建议六、总结 环境: We
WuThreat身份安全-TVD每日漏洞情报-2023-01-06
wuthreat无胁科技的博客
01-09 803
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-47115,CNNVD-202212-4155。漏洞编号:CVE-2022-46580,CNNVD-202212-4177。
vulhub远程执行命令漏洞CVE-2022-22963
12-27
### Vulhub 中 CVE-2022-22963 远程命令执行漏洞详情 #### 漏洞描述 CVE-2022-22963 是一个存在于 Spring Cloud Function 的 SpEL (Spring Expression Language) 表达式注入漏洞。此漏洞允许攻击者通过 `spring....
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值