XML实体注入漏洞

xml · 浏览次数 : 0

小编点评

**漏洞概述** - **高危漏洞类型**：XML实体注入漏洞 - **漏洞全称**：XML External Entity Injection (XXE) - **漏洞描述**：XXE漏洞发生于应用程序解析XML输入时，若未禁止外部实体加载，可能会加载恶意外部文件，进而导致文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。 **影响版本** - 3.16及以下版本 **修复方案** 1. 升级poi jar包至4.1.2版本： - 示例依赖： ```xml org.apache.poi poi 4.1.2 org.apache.xmlbeans xmlbeans ``` 2. 手动调整代码中的相关方法及属性： - 例如： ```java cellStyle.setAlignment(HSSFCellStyle.ALIGN_CENTER); cellStyle.setVerticalAlignment(HSSFCellStyle.VERTICAL_CENTER); cellStyle.setBorderBottom(HSSFCellStyle.BORDER_THIN); cellStyle.setBottomBorderColor(HSSFColor.BLACK.index); cellStyle.setBorderLeft(HSSFCellStyle.BORDER_THIN); cellStyle.setLeftBorderColor(HSSFColor.BLACK.index); cellStyle.setBorderRight(HSSFCellStyle.BORDER_THIN); ``` 更新至： ```java cellStyle.setAlignment(HorizontalAlignment.CENTER); cellStyle.setVerticalAlignment(VerticalAlignment.CENTER); cellStyle.setBorderBottom(BorderStyle.THIN); cellStyle.setBottomBorderColor(HSSFColor.HSSFColorPredefined.BLACK.getIndex()); cellStyle.setBorderLeft(BorderStyle.THIN); cellStyle.setLeftBorderColor(HSSFColor.HSSFColorPredefined.BLACK.getIndex()); cellStyle.setBorderRight(BorderStyle.THIN); cellStyle.setRightBorderColor(HSSFColor.HSSFColorPredefined.BLACK.getIndex()); cellStyle.setBorderTop(BorderStyle.THIN); cellStyle.setTopBorderColor(HSSFColor.HSSFColorPredefined.BLACK INDEX); ``` 3. 如更新后仍出现报错，手动排除poi中的xmlbeans并重新引入： - 示例依赖： ```xml org.apache.poi poi 4.1.2 org.apache.xmlbeans xmlbeans org.apache.xmlbeans xmlbeans 3.1.0 ``` > 注意：只需引入一个版本的xmlbeans以避免冲突，不要存在多个版本的xmlbeans。

正文

漏洞等级：高危

漏洞类型：XML实体注入

漏洞描述：XXE漏洞全称XML Extemal Endy niecionlxm以外部实体注入漏洞，X在漏洞发生在应用程序经析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起d0s攻击等危害。xxe漏洞触发的点往往是可以上传xm文件的位置，没有对上传的xm,文件进行过滤，导致可上传恶意xm文件。

具体修复方案：

1.需要将poi jar包升级到4.1.2版本，我当前使用的版本是3.16。

<dependency>
   <groupId>org.apache.poi</groupId>
   <artifactId>poi</artifactId>
   <version>4.1.2</version>
   <exclusions>
      <exclusion>
         <groupId>org.apache.xmlbeans</groupId>
         <artifactId>xmlbeans</artifactId>
      </exclusion>
   </exclusions>
</dependency>

2.升级完jar包后代码中引入的需要相关方法及属性就会报错，这时候需要我们手动调整这些错误。

以下是3.6及以下的版本显示：

cellStyle.setAlignment(HSSFCellStyle.ALIGN_CENTER);
cellStyle.setVerticalAlignment(HSSFCellStyle.VERTICAL_CENTER);
cellStyle.setBorderBottom(HSSFCellStyle.BORDER_THIN);
cellStyle.setBottomBorderColor(HSSFColor.BLACK.index);
cellStyle.setBorderLeft(HSSFCellStyle.BORDER_THIN);
cellStyle.setLeftBorderColor(HSSFColor.BLACK.index);
cellStyle.setBorderRight(HSSFCellStyle.BORDER_THIN);

更高版本是这样的：

cellStyle.setAlignment(HorizontalAlignment.CENTER);
cellStyle.setVerticalAlignment(VerticalAlignment.CENTER);
cellStyle.setBorderBottom(BorderStyle.THIN);
cellStyle.setBottomBorderColor(HSSFColor.HSSFColorPredefined.BLACK.getIndex());
cellStyle.setBorderLeft(BorderStyle.THIN);
cellStyle.setLeftBorderColor(HSSFColor.HSSFColorPredefined.BLACK.getIndex());
cellStyle.setBorderRight(BorderStyle.THIN);
cellStyle.setRightBorderColor(HSSFColor.HSSFColorPredefined.BLACK.getIndex());
cellStyle.setBorderTop(BorderStyle.THIN);
cellStyle.setTopBorderColor(HSSFColor.HSSFColorPredefined.BLACK.getIndex());

3.调整完成后可以启动成功，但是上传文件依然会报错，错误信息如下：

Handler processing failed; nested exception is java.lang.NoSuchMethodError: org.apache.xmlbeans.XmlOptions.setEntityExpansionLimit(I)Lorg/apache/xmlbeans/XmlOptions;

这时候就需要我们手动排除poi里的xmbeans，重新引入xmbeans，注意：xmlbeans只能引入一个，不要存在其他版本的xmlbeans，不然依然会报错。

        <dependency>
            <groupId>org.apache.poi</groupId>
            <artifactId>poi</artifactId>
            <version>4.1.2</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.xmlbeans</groupId>
                    <artifactId>xmlbeans</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

<!-- xmlbeans -->
<dependency>
   <groupId>org.apache.xmlbeans</groupId>
   <artifactId>xmlbeans</artifactId>
   <version>3.1.0</version>
</dependency>

注意：不是pom.xml只引入一个版本就行了，是引用的Maven仓库中只能存在一个版本的xmlbeans。