发布日期：2026-01-26
更新日期：2026-03-02

受影响系统：

AssertJ AssertJ >= 1.4.0 < 3.27.7

描述：

---

CVE(CAN) ID: CVE-2026-24400

AssertJ是AssertJ开源的一个单元测试工具。
AssertJ 1.4.0版本至3.27.7之前版本存在代码问题漏洞，该漏洞源于该工具中的“org.assertj.core.util.xml.XmlStringPrettyFormatter”类的“toXmlDocument(String)”方法使用默认设置初始化“DocumentBuilderFactory”，未禁用DTD或外部实体，攻击者可利用该漏洞实现信息泄露、拒绝服务以及未授权的信息修改。

<**>

建议：

---

厂商补丁：

AssertJ
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/assertj/assertj/releases

浏览次数：66
严重程度：0（网友投票）