Smi1e@卫兵实验室漏洞复现证明截图影响范围Oracle Weblogic Server 12.1.3.0, 12.2.1.3, 12.2.1.4漏洞分析com.tangosol.util.ExternalizableHelper#readXmlSerializable 会对反序列化读取到的 sXml 传入 (new SimpleParser()).parseXml 进行XML解析。跟进 parseXml,this.parseDocument(xml) 会把我们传入的xml字符串解析成 XmlDocument 对象如果 this.m_fValidate 为 true,则调用 (new SaxParser()).validateXsd(sXml, xml) 验证XML格式,默认情况下为true跟进 validateXsd 方法,最终会调用 validator.validate(source) 触发XXE漏洞,source 就是我们传入的xml的 Source 对象。但是前提是 listSchemaURIs 不为空看一下 listSchemaURIs 的赋值过程XmlHelper.getNamespacePrefix 获取以 xmlns: 开头的标签属性,返回其后面的字符串做为 prefix。XmlHelper.getSchemaLocations 提取 prefix + :schemaLocation
………………………………