Hutool证书验证漏洞 CVE-2022-22885

最新推荐文章于 2025-08-20 09:07:16 发布

原创

最新推荐文章于 2025-08-20 09:07:16 发布 · 999 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #web安全 #网络安全 #apache #tomcat

0x01 概述

Hutool 是一个Java工具库，提供了丰富的工具和方法，方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点，被广泛用于Java开发中。

笔者通过对数百个真实项目引入组件的分析选出了该组件的常见漏洞进行分析。本次分析的是CVE-2022-22885，Hutool-http执行HttpRequest操作时的证书验证漏洞

0x02 组件使用场景

Hutool-http组件是基于HttpUrlConnection的Http客户端封装。其中的HttpRequest类有发送Http请求的功能。

0x03 漏洞信息

3.1 漏洞简介

漏洞名称：证书验证漏洞

漏洞编号：CVE-2022-22885

漏洞类型：CWE-295 证书验证不正确

CVSS评分：CVSS v3.1：9.8

漏洞危害等级：超危

3.2 漏洞概述

该库的HttpRequest类默认的HostnameVerifier信任所有的hostname，并不对服务器证书进行校验。

3.3 漏洞利用条件

使

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

洞源实验室

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Hutool 路径遍历漏洞 CVE-2018-17297

INSBUG的博客

07-28

631

创建File对象的时候会调用checkSlip函数，该函数会通过获取传入文件的规范路径来消除路径的冗余和符号链接，然后检查file的规范路径是否以parentFile的规范路径开头，如果不是，则说明file不在parentFile目录下，将抛出异常；这是一种安全性检查，以确保文件在指定的父目录下，防止越界访问。该漏洞在权限设置不当的情况下可以实现任意文件覆盖的效果，覆盖一些敏感文件如/etc/passwd或ssh连接私钥，这样可能导致服务器被远程控制，并且在特定的情况下也可能造成远程命令执行。

【中危】Apache XML Graphics Batik＜1.17 存在SSRF漏洞 (CVE-2022-44729)

OSCS开源安全社区

08-25

1823

墨知是国内首个专注软件供应链安全领域的技术社区，社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容，包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析（SCA）、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流，帮助组织和个人提高软件供应链的安全性，减少供应链攻击的风险，并保护软件生态系统的整体安全。

1 条评论您还未登录，请先登录后发表或查看评论

Hutool里面BeanUtil中坑

hikktn的博客

04-24

815

公司大佬喜欢用hutool工具类，秉持着学习的态度，我也用。天啦！！！一用才知道hutool的bug真多，坑死我了。

hutool XML反序列化漏洞(CVE-2023-24162)

YJ_12340的博客

04-20

1299

Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据，当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。

漏洞复现-hutool XML反序列化漏洞(CVE-2023-24162)

玄道的网安博客

08-12

1225

Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据，当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。在最新版的 hutool-all 没有用黑名单，而是直接移除了 readObjectFromXml方法cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)当然这个地方也是可以通过读取文件来实现的。

精选资源

CVE-2022-33891POC Apache Spark 命令注入（CVE-2022-33891）POC

08-10

CVE-2022-33891POC Apache Spark 命令注入（CVE-2022-33891）POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本，参考官网链接： ...

麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1

03-15

麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9

03-15

麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...

精选资源

WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf

09-27

【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题，涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入，但因为`WP_Query`经常被WordPress插件广泛使用，所以其潜在的危害...

Hutool资源消耗漏洞 CVE-2022-4565

INSBUG的博客

08-04

1099

ZipBomb的原理是创建一个文件，该文件包含相同的符号并被压缩，由于文件包含了相同的信息，所以其压缩的文件会比自己小许多。对于无限长度的重复字节来说，使用DEFLATE 压缩算法的压缩器有接近1032的压缩率（压缩率=压缩前大小/压缩后大小），对于部分恶意构造的Zip，压缩比甚至能达到28000000:1，也就是说10MB的压缩文件最后能解压出281TB的文件。其中，参数含义依次为：用户，硬限制（1KB为单位），软限制（1KB为单位），索引节点的软限制，索引节点的硬限制，以及文件系统路径。

漏洞预警|hutool 存在反序列化漏洞

LJQClqjc的博客

02-02

1163

七彩安全漏洞预警

Hutool项目安全漏洞CVE-2023-51075分析与修复方案

最新发布

gitblog_01420的博客

08-20

461

Hutool项目安全漏洞CVE-2023-51075分析与修复方案【免费下载链接】hutool ????小而全的Java工具类库，使Java拥有函数式语言般的优雅，让Java语言也可以“甜甜的”。项目地址: https://gitc...

漏洞深度分析|CVE-2023-24162 hutool XML反序列化漏洞

LJQClqjc的博客

02-02

3347

漏洞深度分析

开源项目hutool之zip_slip漏洞

weixin_30455067的博客

07-09

1255

今天突然看到了去年写的一篇漏洞分析文章，搬到博客上 ---------------- Hutool是Github上的一个开源项目，是一个java的工具包，对文件、流、加密解密、转码、正则、线程、XML等JDK方法进行封装，组成各种Util工具类，同时还提供一些其他的组件。目前在Github上已经有了2k+的Star。 Github地址：https://github.com/looly/hut...

hutool工具包的json工具有漏洞

qq_58616732的博客

04-22

825

hutool工具包只能导入141条数据（不知道哪里有问题）阿里的fastjson能导入所有的199条数据。还是得用大厂的工具啊！在向es批量导入数据时。

VMware 产品多个高危漏洞 (CVE-2022-22954,CVE-2022-22955,CVE-2022-22956,CVE-2022-22957,CVE-2022-22958,CVE-2022

西米安全

04-11

2996

漏洞详情 VMware官方发布安全通告告，其中包含了影响VMware Workspace ONE Access、Identity Manager 和 vRealize Automation组件的多个高危漏洞（CVE-2022-22954、CVE-2022-22955、CVE-2022-22956、CVE-2022-22957、CVE-2022-22958、CVE-2022-22959、CVE-2022-22960、CVE-2022-22961），漏洞详情如下： CVE-2022-22954 漏洞类型：远程命

漏洞修复--Linux 权限提升漏洞（CVE-2022-2588）

Q先生

11-15

1333

漏洞修复--Linux 权限提升漏洞（CVE-2022-2588）

vulhub远程执行命令漏洞CVE-2022-22963

12-27

### Vulhub 中 CVE-2022-22963 远程命令执行漏洞详情 #### 漏洞描述 CVE-2022-22963 是一个存在于 Spring Cloud Function 的 SpEL (Spring Expression Language) 表达式注入漏洞。此漏洞允许攻击者通过 `spring....