https://blog.qife122.com/tags/xml%E6%B3%A8%E5%85%A5/ Recent content in XML注入 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 13:47:55 +0800 https://blog.qife122.com/p/apache-struts-xml%E9%AA%8C%E8%AF%81%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90cve-2025-68493%E6%8A%80%E6%9C%AF%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/ Mon, 12 Jan 2026 13:47:55 +0800 https://blog.qife122.com/p/apache-struts-xml%E9%AA%8C%E8%AF%81%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90cve-2025-68493%E6%8A%80%E6%9C%AF%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/ <h3 id="cve-2025-68493-apache软件基金会apache-struts中的cwe-112缺失xml验证">CVE-2025-68493: Apache软件基金会Apache Struts中的CWE-112缺失XML验证</h3> <p><strong>严重性</strong>: 高 <strong>类型</strong>: 漏洞</p> <h4 id="漏洞概述">漏洞概述</h4> <p>CVE-2025-68493是在Apache Struts框架中发现的一个安全漏洞，具体与缺失XML验证相关。Apache Struts是一个广泛使用的用于构建Java Web应用程序的开源框架。该漏洞影响从2.0.0到包括6.1.0在内的所有版本。核心问题是该框架未能正确验证XML输入，这可能允许攻击者构造恶意XML负载，绕过预期的安全检查。根据应用程序上下文和XML数据处理方式，这可能导致注入攻击、未经授权的数据操纵，或潜在的远程代码执行。</p> https://blog.qife122.com/p/magento-xml%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90widgets%E6%A8%A1%E5%9D%97%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ Sun, 09 Nov 2025 17:33:25 +0800 https://blog.qife122.com/p/magento-xml%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90widgets%E6%A8%A1%E5%9D%97%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2021-36033magento-xml注入漏洞分析">CVE-2021-36033：Magento XML注入漏洞分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>Magento Commerce 2.4.2（及更早版本）、2.4.2-p1（及更早版本）和2.3.7（及更早版本）的Widgets模块中存在XML注入漏洞。具有管理员权限的攻击者可以触发特制脚本，实现远程代码执行。</p> https://blog.qife122.com/p/magento-xml%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90widgets%E6%A8%A1%E5%9D%97%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ Sun, 09 Nov 2025 05:06:44 +0800 https://blog.qife122.com/p/magento-xml%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90widgets%E6%A8%A1%E5%9D%97%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ <h1 id="magento-xml注入漏洞分析widgets模块安全风险">Magento XML注入漏洞分析：Widgets模块安全风险</h1> <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE-2021-36033</strong> 是一个影响Magento Commerce的XML注入漏洞，存在于Widgets模块中。该漏洞被评定为<strong>严重级别</strong>。</p> https://blog.qife122.com/p/ios%E6%BF%80%E6%B4%BB%E6%BC%8F%E6%B4%9E%E8%BF%9C%E7%A8%8Bxml%E6%B3%A8%E5%85%A5%E5%AE%9E%E7%8E%B0%E9%A2%84%E7%94%A8%E6%88%B7%E8%AE%BE%E5%A4%87%E5%85%A5%E4%BE%B5%E4%B8%8E%E8%BA%AB%E4%BB%BD%E6%B3%84%E9%9C%B2ios-18.5/ Fri, 19 Sep 2025 07:11:53 +0800 https://blog.qife122.com/p/ios%E6%BF%80%E6%B4%BB%E6%BC%8F%E6%B4%9E%E8%BF%9C%E7%A8%8Bxml%E6%B3%A8%E5%85%A5%E5%AE%9E%E7%8E%B0%E9%A2%84%E7%94%A8%E6%88%B7%E8%AE%BE%E5%A4%87%E5%85%A5%E4%BE%B5%E4%B8%8E%E8%BA%AB%E4%BB%BD%E6%B3%84%E9%9C%B2ios-18.5/ <h1 id="ios激活漏洞实现预用户设备入侵与身份泄露ios-185">iOS激活漏洞实现预用户设备入侵与身份泄露（iOS 18.5）</h1> <p><strong>报告至Apple时间</strong>：2025年5月19日<br> <strong>报告至US-CERT时间</strong>：2025年5月19日<br> <strong>US-CERT案例编号</strong>：VU#346053<br> <strong>厂商状态</strong>：未回应<br> <strong>公开披露时间</strong>：2025年6月26日</p>