HuTool XML外部实体注入漏洞

• 漏洞编号：CVE-2023-3276
  
• 漏洞类型：XML外部实体注入(XXE)
• 漏洞等级：中危
• 发布时间：2023-06-19

漏洞描述：

Hutool是一个小而全的Java工具类库，通过静态方法封装，降低相关API的学习成本，提高工作效率，使Java拥有函数式语言般的优雅。

监测到Dromara HuTool发布安全更新，修复了一个XML外部实体注入漏洞，在使用相关XML工具类的readBySax方法解析数据时，默认情况支持引用外部实体，当输入的解析数据可控时可能会造成XML外部实体注入漏洞，

影响版本：

修复建议

厂商已经在 5.8.20 版本中修复上述漏洞，受影响用户请尽快升级到安全版本。

下载链接：https://github.com/dromara/hutool/releases