关键漏洞信息 1. 修复描述 修复内容: 修复 SchemaFactory 配置中的 XML 验证漏洞 提交信息: 提交人 于上周提交,已签名 2. 文件变更 文件数量: 7 个文件 行数变更: 添加 40 行,删除 12 行 3. 主要修改内容 - 添加了对 和 的访问限制 - 开启了 特性,增强安全性 - 类似的安全配置,禁止外部 DTD 和 Schema 访问,并开启安全处理特性 4. 测试用例变更 和 - 增加了对 XXE(XML 外部实体)攻击的测试用例,确保修复措施有效 - 测试用例模拟了 文件的解析,验证代码能够正确抛出异常并包含安全限制信息 5. 漏洞示例 文件 - 包含一个恶意的 声明,尝试访问外部实体。修改后,该文件将无法通过解析。 通过配置和测试,确保代码能抵御此类攻击。 6. 版本更新 父依赖版本更新 - 从 10.1.0 升级到 11.0.0 - 项目版本从 11.0.0-SNAPSHOT 变更为 11.1.0-SNAPSHOT 7. 安全更新 引入了 ,并在 中进行了依赖调整,以增强 XML 解析的安全性。