支持本站 — 捐款将帮助我们持续运营

目标: 1000 元,已筹: 1000

100.0%
立即捐款

POC详情: 3bd6a6fdec82ce3c3a5252bc87ba88ba7853068c

来源
https://github.com/buiduchoang24/CVE-2023-34040
关联漏洞
标题:Spring Framework 代码问题漏洞 (CVE-2023-34040)
Description:Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 Spring Framework 存在安全漏洞,该漏洞源于存在反序列化漏洞,允许容器在配置了ErrorHandlingDeserializer的情况下反序列化标头。受影响的产品和版本:Spring for Apache Kafka 3.0.9及之前版本,2.9.10及之前版本。
Description
In Spring for Apache Kafka 3.0.9 and earlier and versions 2.9.10 and earlier, a possible deserialization attack vector existed, but only if unusual configuration was applied. An attacker would have to construct a malicious serialized object in one of the deserialization exception record headers. Cre: NVD
介绍
# CVE-2023-34040
This PoC is cloned from https://github.com/Contrast-Security-OSS/Spring-Kafka-POC-CVE-2023-34040
About our analyzing process, please visit PDF file on the main repo.
文件快照

 [4.0K]  /data/pocs/3bd6a6fdec82ce3c3a5252bc87ba88ba7853068c
├── [ 674]  compose.yml
├── [2.5M]  CVE-2023-34040.pdf
├── [ 11K]  LICENSE
├── [ 183]  README.md
├── [4.0K]  spring-kafka-consumer
│   ├── [1.9K]  pom.xml
│   └── [4.0K]  src
│       └── [4.0K]  main
│           ├── [4.0K]  java
│           │   └── [4.0K]  com
│           │       └── [4.0K]  contrast
│           │           ├── [4.0K]  gadget
│           │           │   └── [ 708]  ProcBuilder.java
│           │           └── [4.0K]  spring
│           │               └── [4.0K]  kafka
│           │                   ├── [ 594]  Greeting.java
│           │                   ├── [1.5K]  KafkaApplication.java
│           │                   ├── [3.9K]  KafkaConsumerConfig.java
│           │                   └── [1.9K]  KafkaTopicConfig.java
│           └── [4.0K]  resources
│               ├── [ 637]  application.properties
│               └── [ 373]  logback.xml
└── [4.0K]  spring-kafka-producer
    ├── [1.9K]  pom.xml
    └── [4.0K]  src
        └── [4.0K]  main
            ├── [4.0K]  java
            │   ├── [4.0K]  com
            │   │   └── [4.0K]  contrast
            │   │       ├── [4.0K]  gadget
            │   │       │   └── [ 710]  ProcBuilder.java
            │   │       ├── [3.1K]  KafkaApplication.java
            │   │       ├── [2.1K]  KafkaProducerConfig.java
            │   │       ├── [1.9K]  KafkaTopicConfig.java
            │   │       ├── [2.4K]  PayloadGenerator.java
            │   │       └── [4.0K]  spring
            │   │           └── [4.0K]  kafka
            │   │               └── [ 594]  Greeting.java
            │   └── [4.0K]  xrg
            │       └── [4.0K]  springframework
            │           └── [4.0K]  kafka
            │               └── [4.0K]  support
            │                   └── [4.0K]  serializer
            │                       └── [ 354]  DeserializationException.java
            └── [4.0K]  resources
                ├── [ 532]  application.properties
                └── [ 373]  logback.xml

25 directories, 22 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。