Hutool证书验证漏洞 CVE-2022-22885

最新推荐文章于 2025-08-20 09:07:16 发布
原创 最新推荐文章于 2025-08-20 09:07:16 发布 · 999 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络安全 #apache #tomcat

图片

0x01 概述

Hutool 是一个Java工具库,提供了丰富的工具和方法,方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点,被广泛用于Java开发中。

笔者通过对数百个真实项目引入组件的分析选出了该组件的常见漏洞进行分析。本次分析的是CVE-2022-22885,Hutool-http执行HttpRequest操作时的证书验证漏洞

0x02 组件使用场景

Hutool-http组件是基于HttpUrlConnection的Http客户端封装 。其中的HttpRequest类有发送Http请求的功能。

0x03 漏洞信息

3.1 漏洞简介

漏洞名称:证书验证漏洞

漏洞编号:CVE-2022-22885

漏洞类型:CWE-295 证书验证不正确

CVSS评分:CVSS v3.1:9.8

漏洞危害等级:超危

3.2 漏洞概述

该库的HttpRequest类默认的HostnameVerifier信任所有的hostname,并不对服务器证书进行校验。

3.3 漏洞利用条件

使

最低0.47元/天 解锁文章
Hutool 路径遍历漏洞 CVE-2018-17297
INSBUG的博客
07-28 631
创建File对象的时候会调用checkSlip函数,该函数会通过获取传入文件的规范路径来消除路径的冗余和符号链接,然后检查file的规范路径是否以parentFile的规范路径开头,如果不是,则说明file不在parentFile目录下,将抛出异常;这是一种安全性检查,以确保文件在指定的父目录下,防止越界访问。该漏洞在权限设置不当的情况下可以实现任意文件覆盖的效果,覆盖一些敏感文件如/etc/passwd或ssh连接私钥,这样可能导致服务器被远程控制,并且在特定的情况下也可能造成远程命令执行。
【中危】Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)
OSCS开源安全社区
08-25 1823
墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全
Hutool里面BeanUtil中坑
hikktn的博客
04-24 814
公司大佬喜欢用hutool工具类,秉持着学习的态度,我也用。天啦!!!一用才知道hutool的bug真多,坑死我了。
hutool XML反序列化漏洞(CVE-2023-24162)
YJ_12340的博客
04-20 1299
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。
漏洞复现-hutool XML反序列化漏洞(CVE-2023-24162)
玄道的网安博客
08-12 1222
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。在最新版的 hutool-all 没有用黑名单,而是直接移除了 readObjectFromXml方法cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)当然这个地方也是可以通过读取文件来实现的。
精选资源
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1
03-15
2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
精选资源
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
Hutool资源消耗漏洞 CVE-2022-4565
INSBUG的博客
08-04 1099
ZipBomb的原理是创建一个文件,该文件包含相同的符号并被压缩,由于文件包含了相同的信息,所以其压缩的文件会比自己小许多。对于无限长度的重复字节来说,使用DEFLATE 压缩算法的压缩器有接近1032的压缩率(压缩率=压缩前大小/压缩后大小),对于部分恶意构造的Zip,压缩比甚至能达到28000000:1,也就是说10MB的压缩文件最后能解压出281TB的文件。其中,参数含义依次为:用户,硬限制(1KB为单位),软限制(1KB为单位),索引节点的软限制,索引节点的硬限制,以及文件系统路径。
漏洞预警|hutool 存在反序列化漏洞
LJQClqjc的博客
02-02 1162
七彩安全漏洞预警
Hutool项目安全漏洞CVE-2023-51075分析与修复方案
最新发布
gitblog_01420的博客
08-20 461
Hutool项目安全漏洞CVE-2023-51075分析与修复方案 【免费下载链接】hutool ????小而全的Java工具类库,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。 项目地址: https://gitc...
漏洞深度分析|CVE-2023-24162 hutool XML反序列化漏洞
LJQClqjc的博客
02-02 3343
漏洞深度分析
开源项目hutool之zip_slip漏洞
weixin_30455067的博客
07-09 1255
今天突然看到了去年写的一篇漏洞分析文章,搬到博客上 ---------------- Hutool是Github上的一个开源项目,是一个java的工具包,对文件、流、加密解密、转码、正则、线程、XML等JDK方法进行封装,组成各种Util工具类,同时还提供一些其他的组件。目前在Github上已经有了2k+的Star。 Github地址:https://github.com/looly/hut...
hutool工具包的json工具有漏洞
qq_58616732的博客
04-22 824
hutool工具包只能导入141条数据(不知道哪里有问题)阿里的fastjson能导入所有的199条数据。还是得用大厂的工具啊!在向es批量导入数据时。
VMware 产品多个高危漏洞 (CVE-2022-22954,CVE-2022-22955,CVE-2022-22956,CVE-2022-22957,CVE-2022-22958,CVE-2022
西米安全
04-11 2996
漏洞详情 VMware官方发布安全通告告,其中包含了影响VMware Workspace ONE Access、Identity Manager 和 vRealize Automation组件的多个高危漏洞CVE-2022-22954、CVE-2022-22955、CVE-2022-22956、CVE-2022-22957、CVE-2022-22958、CVE-2022-22959、CVE-2022-22960、CVE-2022-22961),漏洞详情如下: CVE-2022-22954 漏洞类型:远程命
漏洞修复--Linux 权限提升漏洞CVE-2022-2588)
Q先生
11-15 1333
漏洞修复--Linux 权限提升漏洞CVE-2022-2588)
vulhub远程执行命令漏洞CVE-2022-22963
12-27
### Vulhub 中 CVE-2022-22963 远程命令执行漏洞详情 #### 漏洞描述 CVE-2022-22963 是一个存在于 Spring Cloud Function 的 SpEL (Spring Expression Language) 表达式注入漏洞。此漏洞允许攻击者通过 `spring.cloud.function.routing-expression` 请求头参数注入恶意的 SpEL 表达式,从而实现远程代码执行。受影响的版本范围是从 3.0.0.RELEASE 到 3.2.2 版本[^2]。 #### 影响评估 该漏洞被评定为高危级别,CVSS评分为7.5分。它属于中间件漏洞类别,主要影响使用特定版本范围内 Spring Cloud Function 组件的应用程序。一旦成功利用,攻击者可以在服务器上执行任意代码,可能导致数据泄露、服务中断或其他严重后果。 #### 环境搭建与验证 为了重现并研究这个漏洞,在 vulhub 平台上可以按照如下步骤操作: 进入目标文件夹路径 `/桌面/vulhub-master/spring/CVE-2022-22963` 后启动 Docker 容器实例: ```bash cd /桌面/vulhub-master/spring/CVE-2022-22963 docker-compose up -d ``` 确认主机 IP 地址以及容器开放的服务端口信息: ```bash ifconfig docker ps ``` 访问 http://<host-ip>:8080/functionRouter 来测试是否存在潜在的安全风险[^1]。 --- ### 修复建议 针对上述提到的 CVE-2022-22963 漏洞,官方已经发布了安全更新来解决这个问题。推荐采取以下措施防止受到此类攻击的影响: - **升级依赖库**:尽快将应用程序所使用的 Spring Cloud Function 升级到最新稳定版(至少应高于 3.2.2),因为新版本包含了对该漏洞的有效修补。 - **移除不必要的功能模块**:如果项目并不需要用到动态路由特性,则考虑禁用或删除相关配置项以减少暴露面。 - **加强输入校验机制**:对于任何来自外部的数据源都应当实施严格的过滤策略,特别是涉及到表达式的解析场景下更需谨慎对待用户提交的内容。 - **定期审查第三方插件安全性**:持续关注社区反馈和技术文档,及时了解其他可能存在的安全隐患,并做好相应的防护工作。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值