Oracle MySQL JDBC XXE漏洞(CVE-2021-2471)
VSole2021-10-21 10:48:05
時間軸
· 2021/08/24
阿里云安全團隊向Oracle官方報告了MySQL JDBC XXE漏洞
· 2021/08/24
阿里云WAF更新防護策略
· 2021/10/20
Oracle官方發布了漏洞補丁,分配CVE編號為CVE-2021-2471,并向阿里云安全團隊公開致謝
· 2021/10/21
阿里云安全發布漏洞風險提示
風險等級
評定方式 等級 威脅等級 高危 影響范圍 較廣 利用難度 低 |
漏洞分析
這個漏洞是由于MySQL JDBC 8.0.27版本之前,存在``getSource()``方法未對傳入的XML數據做校驗,導致攻擊者可以在XML數據中引入外部實體,造成XXE攻擊。
進入getSource方法,簡單做了判斷,當是DOMSource類型時,則使用 ``DocumentBuilder`` 對XML數據做解析!
這一步沒有做任何安全相關的校驗和判斷,直接實例化對象,從而可以在XML中引入外部實體,造成XXE攻擊。
而在MySQL JDBC 8.0.27版本開始設置了安全屬性在對象實例化之前做了校驗
04
漏洞演示
VSole
網絡安全專家