依赖传递中某依赖版本低造成安全漏洞问题

于 2024-12-10 14:32:05 发布
阅读量428 收藏 1
点赞数 7
分类专栏: 工作问题 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43954910/article/details/144372910
版权

问题描述

由于在项目中间接引用poi依赖,此依赖版本过低导致漏洞。

原因分析:

Apache POI 版本<= 4.1.0 中,当使用 XSSFExportToXml 工具转换用户提供的 Excel 文档时,可以在 xmlMaps.xml 加入恶意代码制作成 excel 文档,

漏洞是在使用 XSSFExportToXml 类 xlsx 转 xml 时触发的

对比版本 4.1.0 和 4.1.1 XSSFExportToXml 类的源码,发现在 isValid 方法里多设置了一个 feature,
问题就出在org.apache.poi.xssf.extractor.XSSFExportToXml#isValid 方法里,

如果org.apache.poi.xssf.extractor.XSSFExportToXml#exportToXML(java.io.OutputStream, java.lang.String, boolean) 方法的第三个参数为 true 则会进入 isValid 触发XML External Entity处理在服务器读取文件资源或发送外部请求

解决方案:

  1. 如果不使用poi,由于间接依赖引入了poi,则在pom文件中使用exclude排除poi

在这里插入图片描述

  1. 如果使用poi,则在pom文件中使用指定poi版本超过4.1.0.
7z apache解析漏洞_XXE 漏洞代码及修复代码整理
weixin_27034523的博客
12-23 890
XML原理XXE:XML External Entity 即XML外部实体注入攻击。是由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体,通过外部实体SYSTEM请求本地文件uri,通过某种方式返回本地的文件内容,导致了XXE漏洞java中出现的场景poc.xml<?xml version="1.0" encoding="ISO-8859-1" ?> &lt...
Poi HSSFCellStyle.ALIGN_CENTER VERTICAL_CENTER 等爆红的解决办法
Tongyao
05-31 3860
Apache POI是画excel工具,大家在接收旧代码时会出现以下问题: HSSFCellStyle.ALIGN_CENTER HSSFCellStyle.VERTICAL_CENTER 等爆红 原因是版本出错: <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi-ooxml</artifactId> <version>4.1.2<
POI版本升级,从POI3.11升级到POI4.1.0
秋装什么的博客
02-17 1949
POI版本升级,从POI3.11升级到POI4.1.0
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 2874
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
Apache POI 3.10.1外部实体漏洞(CVE-2014-3529)
最新发布
qq_23003811的博客
07-29 556
然后到[Content_Types].xml进行压缩为zip文件,得到[Content_Types].zip。最后是重命令[Content_Types].zip为[Content_Types].xlsx。1、修改[Content_Types].xml中的file:///flag达到任意文件读取。1、准备一台vps服务器IP为91.208.73.100,上传xxe.dtd到服务器上。3、制作payload,[Content_Types].xlsx。4、在页面上传[Content_Types].xlsx。
poi报表导出4.1.0版本工具类 导出并下载
weixin_30307267的博客
08-13 549
这一段时间,由于项目上线基于稳定,所以我这边在基于我们一期迭代的分支上优化一部分我们之前没有做的功能,报表导出。本身之前用的是3.5的版本,但是由于同事要写导入,写的代码只有4.1.0版本支持,所以无奈之下,只能自己看源码把之前的工具类重写一波。下面我们来看一下实现步骤。 1.导入jar <!-- poi --> <dependency> ...
[漏洞复现]Apache POI < 3(2),网络安全面试必问
2401_84185471的博客
04-10 402
Apache POI 3.10.1 之前的 OPC SAX 设置允许远程攻击者通过 OpenXML 文件读取任意文件,该文件包含与 XML 外部实体 (XXE) 问题相关的 XML 外部实体声明和实体引用。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!创建一个**[Content_Types].xml文件和xxe.dtd文件注意名字不可修改**因篇幅有限,仅展示部分资料。
依赖问题:解决全球开源软件安全问题.docx
12-13
依赖问题:解决全球开源软件安全问题 依赖问题是当前全球开源软件安全的主要挑战之一。 开源软件供应链可能会引入未知的、可能是有意的平安漏洞依赖于其他组件的组件无限地依赖于其他组件,使得阻止攻击变得...
npm-force-resolutions:强制npm安装特定的传递依赖版本
05-14
该软件包修改package-lock.json,以强制安装特定版本传递依赖关系(依赖关系的依赖关系),类似于yarn的,但不必迁移到yarn。 警告开始之前 这种情况的用例是存在安全漏洞,并且您必须更新嵌套的依赖项,否则您的...
express中间件当做前端服务器的安全漏洞处理
02-27
然而,如果不正确配置或使用中间件,可能会引入安全漏洞。本篇文章将深入探讨Express中间件中可能存在的安全问题,并提供一些处理这些问题的方法。 一、Express中间件的理解与使用 Express中间件是一种函数,它接收...
npm-force-resolutions:解决安全漏洞的NPM依赖版本控制
当出现安全漏洞,且顶级依赖项无法及时更新来修复问题时,可以考虑使用npm-force-resolutions来强制更新传递依赖项。在实施前,最佳实践是先尝试更新顶级依赖项。可以使用 `npm ls <vulnerable>` 命令来帮助识别哪些...
poi-4.1.0.jar
04-20
poi-4.1.0.jar 最新版本,官网下载,最积分poi-4.1.0.jar
价值传递在物联网中的安全问题和解决方案.pptx
05-27
价值传递过程中的安全漏洞主要包括以下几个方面: - **终端设备的易受攻击性**:由于物联网设备计算能力有限,常常部署在非安全网络环境中,且与云平台相连,因此很容易成为攻击目标。 - **通信网络的安全性**:...
报错:解决easy-poipoi的jar包冲突问题
你今天真好看呀
04-15 3802
问题说明: ① 首先我们的父工程中导入了org.apache.poi依赖版本4.1.1 <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi-ooxml</artifactId> <version>4.1.1</version> </dependency> ② 项目中的一个服务使用了org.apache.poi
解决Apache POI 代码问题漏洞时,缺少类的问题 (CTPageMar 等)
Oxye
04-17 3781
目录问题代码漏洞告警寻找高版本解决方案一:根据告警提示替换依赖更新依赖步骤解决方案二:把缺少的类从旧包拷到本地解决方案三:终于找到靠谱的依赖总结 问题 先把问题放这 代码漏洞告警 昨天项目代码被检测到POI高危漏洞 漏洞级别:高危漏洞名称:Apache POI 代码问题漏洞 漏洞介绍 Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI 4.1.0及之前版本中存在安全漏洞。攻击者
关于poi新老版本代码变更的问题
m0_49605579的博客
12-07 6051
注:最近公司业务涉及到导出业务,遂使用poi-tl作为导出工具,但先一步的同事使用poi3.14版本,因为poi-tl需要配合poi使用,但是最只支持poi3.16+版本,所以修改api语法并记录下他们的变更关系 需要注意的是:不仅仅是poi一个需要更新版本,用到的都要更新,其中poi要和poi-ooxml版本对应,然后选择对应的poi-tl版本 compile "org.apache.poi:poi:5.1.0" compile "org.apache.poi:ooxml-schemas:1.4" c
使用最新的poi-4.1.0.jar导入导出Excel表格——读取Excel表格数据用法
qq_24790827的博客
07-04 7968
使用最新的poi-4.1.0.jar导入导出Excel表格——读取Excel表格数据用法 其中主要的一点心得就是在switch语句哪里进行读取数据转换时,我看到网上的一些用法都是使用 HSSFCell.CELL_TYPE_STRING、HSSFCell.CELL_TYPE_BOOLEAN和HSSFCell.CELL_TYPE_NUMERIC 等方法或者CellType.STRING ,CellTy...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

miss writer

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值