xml
-
千万不要打开XML!利用vscode构造RCE利用链分析
LSP4XML是一个XML文件解析库,被VSCode/Eclipse/Theia等知名编辑器中使用,如vscode的VSCode-XML扩展、Eclipse的 wildwebdeveloper扩展,Theia的theia-xml扩展等等, 可以实现XXE攻击 (CVE-2019-18213) 导致RCE攻击 (CVE-2019-18212) ,这仅仅只需要打开一个XML文件。 起源 2019年似乎是XXE的一年:在最新的很多渗透测试中,我们成功利用了相当数量的 XXEs。VSCode-XML允许在打开X...