关键信息总结 漏洞概述 漏洞类型: XXE (XML External Entity) 漏洞 受影响组件: Eclipse JGit 中的 和 类 具体方法: 方法 风险: 攻击者可以通过恶意构造的 XML 文件利用此漏洞,导致信息泄露、拒绝服务或远程代码执行。 漏洞细节 1 问题描述: 使用 解析 XML 文件时,未正确配置以禁用外部实体处理。 攻击方式: 攻击者可以构造恶意 XML 文件,利用外部实体引用读取本地文件内容。 示例代码: 提供了测试用例和攻击脚本,展示了如何通过 HTTP 请求触发漏洞。 漏洞细节 2 问题描述: 类中也存在类似问题,允许攻击者控制从 返回的响应。 影响范围: 如果 用于与 GitHub 安全顾问交互,攻击者可能利用此漏洞进行进一步攻击。 修复建议 修复措施: 在 和 类中设置 和 属性为 ,以禁用外部实体解析。 限制条件 当前限制: 无法从包含符号链接的文件系统中提取文件,因为 Java 反序列化在 URL 类中抛出异常。 信用 报告者: Sitrinjus-Linas 相关链接: 提供了多个 GitHub 链接,详细说明了漏洞发现和修复过程。