2021年1月28日
Spring未授权REC利用方式二(env接口/eureka xstream RCE)
摘要: 一、漏洞成因 spring-cloud-starter-netflix-eureka-client组件使用 Xstream 序列化功能,在一定条件下触发REC。 (XStream:XStream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。) 二、利用条件 eureka-c 阅读全文
posted @ 2021-01-28 17:55 黑岗0x0001 阅读(7359) 评论(1) 推荐(0) 编辑