修不好的洞,JDK 的坑:从 WxJava XXE 注入漏洞中发现了一个对 JDK 的误会

事情缘起 前些日,开源社区流行的微信Java SDK爆出XXE注入漏洞,漏洞编号为:CVE-2019-5312。在我分析漏洞时发现这个漏洞源自于一个未修好的漏洞:CVE-2018-20318。在做这两个漏洞的补丁commit diff的时候发现CVE-2018-20318的修复方案是在创建DocumentBuilderFactory实例后对其做了factory.setExpandEntity...