NEWS.ALL
Ruizhao's News Reader

千万不要打开XML!利用vscode构造RCE利用链分析

千万不要打开XML!利用vscode构造RCE利用链分析

LSP4XML是一个XML文件解析库,被VSCode/Eclipse/Theia等知名编辑器中使用,如vscode的VSCode-XML扩展、Eclipse的 wildwebdeveloper扩展,Theia的theia-xml扩展等等, 可以实现XXE攻击 (CVE-2019-18213) 导致RCE攻击 (CVE-2019-18212) ,这仅仅只需要打开一个XML文件。

起源

2019年似乎是XXE的一年:在最

2020-01-18         FreeBuf