【 CVE-2022-40146】Apache XML Graphics Batik代码问题漏洞EXP
作者:Sec-Labs | 发布时间:
漏洞介绍
Apache XML Graphics Batik是美国阿帕奇(Apache)基金会的一套基于Java的主要用于处理SVG格式图像的应用程序。
Apache XML Graphics Batik 1.0到 1.14版本存在安全漏洞,该漏洞源于允许攻击者使用 Jar url 访问文件。
项目地址
https://github.com/cckuailong/CVE-2022-40146_Exploit_Jar
用法
- 修改 src/main/java/com.poc.Poc.java 中的第 11 行以更改命令。
- 运行
mvn clean package - 漏洞可以在 target/ 中找到
然后你需要导航到Poc/来使用这个漏洞利用 jar。
Poc 包含:
- SSRF
- 通过 jar 进行 RCE
- 通过 ecmascript 进行 RCE
标签:工具分享, EXP脚本