0x01 概述 Hutool 是一个Java工具库，提供了丰富的工具类和方法，方便开发者在Java应用程序中进行各种常见任务的处理。它具有简单易用、功能丰富、性能优越等特点，被广泛用于Java开发中。 笔者通过对数百个真实项目引入组件的分析选出了Hutool组件的常见漏洞进行分析。本次分析的是CVE-2022-4565，Hutool-core执行unzip操作时的资源消耗漏洞。 0x02 组件使用场景 Hutool-core组件包括Bean操作、日期、各种Util等，其中的ZipUtil类在压缩文件，解压文件等操作…

0x01 概述 Apache Commons Compress 是一个 Java 库，旨在提供用于压缩和解压缩各种压缩格式的功能。它是 Apache 软件基金会的一个项目，为 Java 开发人员提供了处理压缩文件和流的通用接口和工具。 笔者通过对数百个真实项目引入组件的分析选出了Commons Compress组件的常见漏洞进行分析。本次分析的是CVE-2021-35515，Commons Compress对7z压缩文件解压时造成的无限循环漏洞。 0x02 组件使用场景 Apache Commons Compres…

0x01 概述 Apache Commons Compress是一个开源的Java组件，用于处理各种压缩和归档格式，如ZIP、Tar、7z、gzip、bzip2等等。它提供了一套简单而灵活的API，使开发人员能够在Java应用程序中轻松地创建、解压缩和操作各种压缩格式的文件。 笔者通过对数百个真实项目引入组件的分析选出了Commons Compress组件的常见漏洞进行分析。本次分析的是CVE-2021-35516，Commons Compress对7z压缩文件解压时造成的内存耗尽漏洞。 0x02 组件使用场景 A…