一、 漏洞 CVE-2022-34169 基础信息
漏洞信息
                                        # Apache Xalan Java XSLT库在处理恶意XSLT样式表时易受到整数截断问题的影响

## 概述
Apache Xalan Java XSLT 库在处理恶意 XSLT 样式表时存在整数截断问题,攻击者可以利用这一漏洞篡改由内部 XSLTC 编译器生成的 Java 类文件,并执行任意 Java 字节码。

## 影响版本
- 所有低于 2.7.3 的版本

## 细节
当处理恶意构建的 XSLT 样式表时,Xalan Java XSLT 库中的整数截断问题会导致 Java 类文件的篡改。内部 XSLTC 编译器生成的类文件可能会被破坏,从而允许攻击者执行任意 Java 字节码。

## 影响
Java 运行时环境(如 OpenJDK)中包含了重新打包的 Xalan 程序包。因此,使用受影响的 Xalan 版本的任何应用程序或库都可能受此漏洞的影响,并可能导致执行任意代码的风险。建议用户升级到 2.7.3 或更高版本。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Xalan Java XSLT library is vulnerable to an integer truncation issue when processing malicious XSLT stylesheets
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Apache Xalan Java XSLT library is vulnerable to an integer truncation issue when processing malicious XSLT stylesheets. This can be used to corrupt Java class files generated by the internal XSLTC compiler and execute arbitrary Java bytecode. Users are recommended to update to version 2.7.3 or later. Note: Java runtimes (such as OpenJDK) include repackaged copies of Xalan.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Xalan 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Xalan是美国阿帕奇(Apache)基金会的开源软件库。 Apache Xalan Java XSLT库存在输入验证错误漏洞,该漏洞源于在处理恶意的XSLT样式表时,存在整数截断问题。这可以用来破坏由内部XSLTC编译器生成的Java类文件并执行任意的Java字节码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-34169 的公开POC
# POC 描述 源链接 神龙链接
1 https://nvd.nist.gov/vuln/detail/CVE-2022-34169 https://github.com/bor8/CVE-2022-34169 POC详情
2 cve-2022-34169 延伸出的Jdk Xalan的payload自动生成工具,可根据不同的Jdk生成出其所对应的xslt文件 https://github.com/flowerwind/AutoGenerateXalanPayload POC详情
3 A PoC for CVE-2022-34169, for the SU_PWN challenge from SUCTF 2025 https://github.com/Disnaming/CVE-2022-34169 POC详情
三、漏洞 CVE-2022-34169 的情报信息
四、漏洞 CVE-2022-34169 的评论

暂无评论

发表评论