漏洞描述 【漏洞对象】JavaMelody组件 【涉及版本】JavaMelody < 1.74.0 【漏洞描述】JavaMelody是一个用来对java应用进行监控的组件。通过该组件,用户可以以图表形式对内存,cpu,session,sql进行监控。由于其代码中的xml解析代码没有禁用外部实体解析,因此,很容易导致出现xxe漏洞。
相关漏洞推荐 POC CVE-2018-15531: JavaMelody XXE POC javamelody-detect: JavaMelody Monitoring Exposed POC java-melody-exposed: JavaMelody Monitoring Exposed POC java-melody-xss: JavaMelody - Cross-Site Scripting SprintWeb的组件JavaMelody-未授权访问