【重要】删除XmlUtil.readObjectFromXml方法，避免漏洞

2025-05-09 23:51:34 +08:00 · 2023-02-09 18:31:54 +08:00 · 2023-02-09 18:31:54 +08:00 · 02e85a80e5
commit 02e85a80e5
parent 8a6fe9a2ab
2 changed files with 2 additions and 59 deletions
--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@ -3,10 +3,9 @@

 -------------------------------------------------------------------------------------------------------------

-# 5.8.12.M1 (2023-01-19)
+# 5.8.12.M1 (2023-02-09)

 ### 🐣新特性
-* 【core  】      XmlUtil.readObjectFromXml增加注入漏洞的警告注释，并标识为废弃（issue#2857@Github）
 * 【http  】      HttpGlobalConfig.allowPatch()调用时忽略错误（issue#2832@Github）
 * 【core  】      重构根据file magic number判断文件类型（pr#2834@Github）
 * 【core  】      增加WGS84 坐标与墨卡托投影互转（pr#2811@Github）
@ -22,6 +21,7 @@
 * 【core  】      修复FileUtil的rename在newName与原文件夹名称一样时，文件夹会被删除问题（issue#2845@Github）
 * 【core  】      修复IoUtil.readBytes使用SocketInputStream读取不完整问题（issue#I6AT49@Gitee）
 * 【core  】      修复ClassScanner自定义classload无效问题（issue#I68TV2@Gitee）
+* 【core  】      【重要】删除XmlUtil.readObjectFromXml方法，避免漏洞（issue#2857@Github）

 -------------------------------------------------------------------------------------------------------------

--- a/hutool-core/src/main/java/cn/hutool/core/util/XmlUtil.java
+++ b/hutool-core/src/main/java/cn/hutool/core/util/XmlUtil.java
@ -39,7 +39,6 @@ import javax.xml.xpath.XPath;
 import javax.xml.xpath.XPathConstants;
 import javax.xml.xpath.XPathExpressionException;
 import javax.xml.xpath.XPathFactory;
-import java.beans.XMLDecoder;
 import java.beans.XMLEncoder;
 import java.io.BufferedInputStream;
 import java.io.BufferedWriter;
@ -330,62 +329,6 @@ public class XmlUtil {
 		return readXML(StrUtil.getReader(xmlStr));
 	}

-	/**
-	 * 从XML中读取对象 Reads serialized object from the XML file.<br>
-	 * 注意，使用此方法解析不受信任 XML 字符串时，可能容易受到远程代码执行攻击！<br>
-	 * 见：https://gitee.com/dromara/hutool/issues/I6AEX2
-	 *
-	 * @param <T>    对象类型
-	 * @param source XML文件
-	 * @return 对象
-	 * @deprecated 使用此方法解析不受信任 XML 字符串时，可能容易受到远程代码执行攻击，废弃
-	 */
-	@Deprecated
-	public static <T> T readObjectFromXml(File source) {
-		return readObjectFromXml(new InputSource(FileUtil.getInputStream(source)));
-	}
-
-	/**
-	 * 从XML中读取对象 Reads serialized object from the XML file.<br>
-	 * 注意，使用此方法解析不受信任 XML 字符串时，可能容易受到远程代码执行攻击！<br>
-	 * 见：https://gitee.com/dromara/hutool/issues/I6AEX2
-	 *
-	 * @param <T>    对象类型
-	 * @param xmlStr XML内容
-	 * @return 对象
-	 * @since 3.2.0
-	 * @deprecated 使用此方法解析不受信任 XML 字符串时，可能容易受到远程代码执行攻击，废弃
-	 */
-	@Deprecated
-	public static <T> T readObjectFromXml(String xmlStr) {
-		return readObjectFromXml(new InputSource(StrUtil.getReader(xmlStr)));
-	}
-
-	/**
-	 * 从XML中读取对象 Reads serialized object from the XML file.<br>
-	 * 注意，使用此方法解析不受信任 XML 字符串时，可能容易受到远程代码执行攻击！<br>
-	 * 见：https://gitee.com/dromara/hutool/issues/I6AEX2
-	 *
-	 * @param <T>    对象类型
-	 * @param source {@link InputSource}
-	 * @return 对象
-	 * @since 3.2.0
-	 * @deprecated 使用此方法解析不受信任 XML 字符串时，可能容易受到远程代码执行攻击，废弃
-	 */
-	@Deprecated
-	@SuppressWarnings("unchecked")
-	public static <T> T readObjectFromXml(InputSource source) {
-		Object result;
-		XMLDecoder xmldec = null;
-		try {
-			xmldec = new XMLDecoder(source);
-			result = xmldec.readObject();
-		} finally {
-			IoUtil.close(xmldec);
-		}
-		return (T) result;
-	}
-
 	// -------------------------------------------------------------------------------------- Write

 	/**