Quartz XXE漏洞 CVE-2019-13990

原创 已于 2023-08-17 15:05:38 修改 · 707 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #大数据 #网络 #网络安全 #web安全

于 2023-08-17 15:05:06 首次发布

图片

0x01 概述

Quartz是一个功能丰富的开源作业调度库,可以集成到几乎任何Java应用程序中——从最小的独立应用程序到最大的电子商务系统。Quartz可以用于创建简单或复杂的计划,以执行数十个、数百个甚至数以万计的作业;这些作业的任务被定义为标准的Java组件,可以执行几乎任何你编程的任务。Quartz调度器包含许多企业级功能,例如对JTA事务和集群的支持。

笔者通过对数百个真实项目引入组件的分析选出了Quartz组件的常见漏洞进行分析。本次分析的是CVE-2019-13990。

该漏洞是由于XMLSchedulingDataProcessor.java的initDocumentParser()方法不禁止DTD,导致的XXE。

0x02 组件使用场景

Quartz适用于需要定时、周期性或基于条件触发执行任务的多种场景。无论是在数据管理、任务自动化还是提醒通知等方面,Quartz都可以发挥作用。它允许你有效地安排代码的执行,以适应特定时间、重复性需求和业务逻辑。无论你是在构建小型独立应用还是大型复杂系统,Quartz都是一个有力的工具,为你的任务和作业管理提供了强大的调度和计划功能。

0x03 漏洞信息

3.1 漏洞简介

漏洞名称:XXE漏洞

漏洞编号:CVE-2019-13990

漏洞类型:CWE-611 XML外部实体引用限制不当

CVSS评分:CVSS v3.1:9.

最低0.47元/天 解锁文章
Qualitor processVariavel.php 未授权命令注入漏洞复现(CVE-2023-47253)
iSee857的博客
09-28 983
Qualitor 8.20及之前版本存在命令注入漏洞,远程攻击者可利用该漏洞通过PHP代码执行任意代码,利用难度较低危害较大。对接口入参进行严格防护,限制特殊字符输入。
CVE-2013-0077:Microsoft DirectShow quartz.dll m2p文件堆溢出漏洞调试分析
sleepykino的博客
08-10 648
CVE-2013-0077漏洞分析 windbg安装symbol
quartz开源软件漏洞
Wewon_real的博客
07-28 1152
quartz开源软件漏洞,当存在指定具体日期执行的job且已过期时候,解析quartz xml配置文件到这条任务时候,会报错,导致后面配置解析不下去。
Spring boot框架整合quartz,job类中依赖注入报空指针问题
GX的博客
03-21 3215
      之前做的一个项目用到quartz框架进行定时任务的开发。由于定时任务的job类中需要调用其他service的方法,所以必须注入需要的bean。但是在运行项目的时候发现,job类中的依赖注入会报空指针异常。于是从网上查了相关资料,以解决这个问题。       quartz有三个核心概念:调度器、任务和触发器。三者关系是,调度器负责调度各个任务,到了某个时刻或者过了一定时间,触发器触动了,...
CVE-2023-4357】Chrome-XXE 任意文件读取漏洞复现及原理解析
新青年1号
11-20 3808
使用默认的沙盒,攻击者可以在 ios(safari/chrome),mac(safari/chrome),android(chrome)和 samsung tv(默认浏览器) 上读取 /etc/hosts 文件,当使用 -no-sandbox 属性时,攻击者可以读取操作系统上的任意文件。关系类似于 JSP 和 Java 的关系(不太准确,但比较容易理解),XLS 实际上就是在 XML 的基础上增加了一些扩展的语法,从而可以将 XML 中的数据转换为 HTML 呈现。这里写成 XML 格式也是完全可以的。
谈谈Quartz中遇到的深坑
L550834的博客
04-10 408
  最近在项目开发的时候,根据业务需求,需要配置为自定义Quartz任务(即:用户可以自定义任务执行时间)   但是在即将写完的时候遇到一个非常头疼的问题: 一个redisTemplate 与 workOrderService 无法注入,一直为空。 原因: 你实现的一个Job(例如上面的代码的AutoScheduleJob),并不是由你自己new出来的,留意一下J...
乌云漏洞和ssl漏洞/WordPress 5.7 XXE漏洞分析| CVE-2021-29447_入门渗透知识点
程序员六七的博客
06-07 765
概括在此文章中,我们研究了在最流行的内容管理系统WordPress中发现的一个有趣的XXE漏洞。它允许经过身份验证的攻击者从主机服务器泄漏敏感文件,这可能会导致完全破坏。
通过CVE-2021-43297漏洞在Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1884
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
quartz-2.3.2-API文档-中文版.zip
06-05
赠送jar包:quartz-2.3.2.jar; 赠送原API文档:quartz-2.3.2-javadoc.jar; 赠送源代码:quartz-2.3.2-sources.jar; 赠送Maven依赖信息文件:quartz-2.3.2.pom; 包含翻译后的API文档:quartz-2.3.2-javadoc-API...
Quartz框架多个trigger任务执行出现漏执行的问题分析
岁月静好
05-27 4359
一、问题描述 使用Quartz配置定时任务,配置了超过10个定时任务,这些定时任务配置的触发时间都是5分钟执行一次,实际运行时,发现总有几个定时任务不能执行到。 二、示例程序 1、简单介绍 采用spring+quartz整合方案实现定时任务,Quartz的SchedulerFactoryBean配置参数中不注入taskExecutor属性,使用默认自带的线程池。准备了15个定时任务,全部设置为每隔10秒触发一次,定时任务的实现逻辑是使用休眠8秒的方式模拟执行定时任务的时间耗费。 2、配置文件信息如下(节
SSH内存泄露及Spring Quartz问题
studentGuy的专栏
04-10 1182
问题的起因:      为客户开发了一个系统权且称他为TM吧,用的是tomcat6+myelipse6+jdk1.6环境,框架用SSH。我调试完这个系统程序后,将此程序重新COPY了一份,改名叫TMT,但是发布的Web名还是叫TM。同样用同一个Tomcat来Run的。问题发生了,我在TMT项目里修改后,RUN起来运行的居然是TM项目中的代码。      尝试过删除TOMCAT6下的WORK
记一次quartz定时任务错误
Cyj29566的博客
09-23 450
2024-09-20 18:26:22.575 [QuartzScheduler_MyScheduler-iZuf6927teqwjvdro6l7zxZ1726827277363_ClusterManager] INFO  o.s.scheduling.quartz.LocalDataSourceJobStore:3644 - ClusterManager: detected 1 failed or restarted instances. 2024-09-2
Quartz调度任务漏执行任务分析
qq_32323239的博客
01-18 3611
tnft.getTime() > misfireTime 的条件,当这里判断当Trigger任务的触发时间点, 小于 不调度执行的Trigger的截止时间点的话,当前的Trigger任务本次不会被执行。之前线上的调度出现过,调度任务漏执行的情况,最后发现漏执行,百度了下基本确定是由于Quartz的线程池默认10线程,同一时间触发的任务太多导致任务被延迟,然后导致漏执行了。这里的代码执行,这里会判断当前的获取的Trigger是否触发执行。不会被执行的点在acquireNextTriggers中调用。
2020-07 补丁日:Oracle多个产品高危漏洞安全风险通告
爱国小白帽
07-15 1927
360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 事件简述 2020年07月15日,360CERT监测到Oracle官方发布了7月份的安全更新。 此次安全更新发布了443个漏洞补丁,其中Oracle Fusion Middleware有52个漏洞补丁更新,主要涵盖了Oracle Weblogic、Oracle Coherence、Oracle BI Publisher、Oracle Endeca Information Discovery Studio、O
pg(postgresql)数据库,定时任务quartz-2.3.2集成无法运行解决方法
newbie_jun的博客
04-09 912
3.修改yml文件 spring.quartz.properties.org.quartz.jobStore.driverDelegateClass。1.新建一个类继承 org.quartz.impl.jdbcjobstore.PostgreSQLDelegate。的值 为步骤1新建的类(全路径)
Quartzy Scheduler源码解析
Yingtaozi_0的博客
04-13 653
Quartz介绍 Quartz是一个完全由 Java 编写的开源作业调度框架 官网:Quartz Enterprise Job Scheduler 下载:Downloads API手册:Quartz Enterprise Job Scheduler 2.2.2 API GitHub:https://github.com/quartz-scheduler/quartz/releases/tag/v2.3.2 Quartz简单使用 public class ScheduleTest { ..
springboot升级2.6.x,Quartz2.3.2找不到数据源
xiaoxianfighting的博客
01-10 5859
springboot升级2.6.x,Quartz2.3.2找不到数据源
API 渗透测试指南(二)
最新发布
龙哥盟
07-07 2164
在这一章中,我们讨论了 SQL 和 NoSQL 两种数据库的注入攻击,如何进行这些攻击,以及它们可能对提供 API 端点的最终系统造成的损害类型。我们了解了不同类型的注入攻击,并进行了一些练习,其中一个是使用 crAPI,另一个是使用一个脆弱的 Python 应用程序,每个练习都展示了如何通过注入命令或虚假/无法预测的数据攻击这两种类型的数据库。我们在本章结束时讨论了验证和清理用户输入,这旨在去除或至少减少注入攻击的成功率。还提供了代码片段,以便你能了解这在现实应用中如何运作。
CVE-2022-35741 Apache CloudStack SAML XXE注入
include_voidmain的博客
09-08 736
CVE-2022-35741 Apache CloudStack SAML XXE注入
Java Quartz定时任务库quartz-all-1.6.0.jar详解
资源摘要信息:"quartz-all-1.6.0.jar" 标题中提到的"quartz-all-1.6.0.jar"指的是一个Java定时任务框架Quartz的完整jar包,版本为1.6.0。Quartz是一个开源的作业调度库,它为在Java应用程序中进行作业调度提供了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值