发现您的项目中可能存在XXE漏洞(CVE-2021-3869、CVE-2021-3878)

我发现您的项目中`cf-framework-parent/cf-framework-utils/src/main/java/com/cf/framework/utils/StringTools.java`文件中的`com.cf.framework.utils.StringTools.xmlToMap(String xml)`函数在创建`documentBuilderFactory `对象的时候没有限制外部实体的使用，可能会造成外部实体注入漏洞，进而导致关键信息泄露的问题，可以参考CVE-2021-3869、CVE-2021-3878这两个CVE，他们的参考链接如下：

> CVE-2021-3869:
> NVD说明链接：
> https://nvd.nist.gov/vuln/detail/CVE-2021-3869
> commit修复链接：
> https://github.com/stanfordnlp/corenlp/commit/5d83f1e8482ca304db8be726cad89554c88f136a
> 
> CVE-2021-3878：
> NVD说明链接：
> https://nvd.nist.gov/vuln/detail/CVE-2021-3878
> commit修复链接：
> https://github.com/stanfordnlp/corenlp/commit/e5bbe135a02a74b952396751ed3015e8b8252e99
> 

考虑到其可能存在的潜在风险，我愿意配合您以负责任的方式及时核实、解决和报告发现的漏洞。 如果您需要任何进一步的信息或帮助，请随时与我联系。如果需要，我也可以提交PR帮助您修复。 谢谢您，期待尽快收到您的回复！

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

发现您的项目中可能存在XXE漏洞(CVE-2021-3869、CVE-2021-3878) #80

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

发现您的项目中可能存在XXE漏洞(CVE-2021-3869、CVE-2021-3878) #80

Description

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions