KCloud-Platform-IoT项目安全风险分析：POI-OOXML组件问题与解决方案-CSDN博客

KCloud-Platform-IoT项目安全风险分析：POI-OOXML组件问题与解决方案

【免费下载链接】KCloud-Platform-IoT KCloud-Platform-IoT（老寇IoT云平台）是一个企业级微服务架构的IoT云平台。基于Spring Boot 3.5.4、Spring Cloud 2025.0.0、Spring Cloud Alibaba 2023.0.3.3 最新版本开发的云服务多租户IoT平台。遵循SpringBoot编程思想，使用阿里COLA应用框架构建，高度模块化和可配置化。具备服务注册&发现、配置中心、灰度路由、服务限流、熔断降级、监控报警、多数据源、高亮搜索、分布式任务调度、分布式链路、分布式缓存、分布式事务、分布式存储、分布式锁等功能，用于快速构建IoT微服务项目。目前支持Shell、Docker、Kubernetes等多种部署方式，并且支持GraalVM和虚拟线程。实现RBAC权限、其中包含系统管理、物联管理、系统监控、数据分析等几大模块。遵循阿里代码规范，采用RESTFul设计风格及DDD(领域驱动设计)思想，代码简洁、架构清晰，非常适合作为基础框架使用。项目地址: https://gitcode.com/qq_39893313/KCloud-Platform-IoT

风险背景

在KCloud-Platform-IoT项目的3.5.0版本中，发现了一个涉及Apache POI-OOXML组件的潜在安全风险(CVE-2025-31672)。该问题存在于项目的多个模块中，包括laokou-cola-client、laokou-admin和laokou-oss等核心组件。作为项目的基础依赖，POI-OOXML库的安全问题可能对整个系统的稳定性产生广泛影响。

问题技术细节

该问题属于输入验证不充分类型，影响Apache POI对OOXML格式文件(xlsx、docx、pptx等)的解析处理。这些文件本质上是ZIP压缩包，可能存在具有重复名称(包括路径)的条目。当不同产品读取受影响的文件时，可能会选择不同的ZIP条目，导致读取到不一致的数据。

具体来说，当系统处理特殊构造的Office文档时：

可能包含重复ZIP条目的文档
系统在解析时可能选择错误的条目内容
导致系统处理非预期的数据内容
可能引发数据完整性问题或进一步的稳定性风险

影响范围评估

该问题影响Apache POI-OOXML 5.2.5及之前的所有版本。在KCloud-Platform-IoT项目中，这一问题通过以下依赖链传播：

项目直接依赖laokou-common-excel-3.5.0
该库依赖fastexcel-1.1.0
fastexcel-core-1.1.0最终引入了存在问题的poi-ooxml-5.2.5

这意味着项目中所有涉及Office文档处理的模块都可能受到影响，包括但不限于：

文件上传解析功能
报表导出功能
文档内容提取功能

解决方案

Apache官方已在POI-OOXML 5.4.0版本中修复了此问题，解决方案包括：

版本升级方案：

直接升级到poi-ooxml 5.4.0或更高版本
新版本增加了对ZIP条目重复文件名的检查
发现重复时会抛出异常，避免数据不一致

临时缓解措施(如果无法立即升级)：

对上传的Office文档实施严格的内容检查
限制文档处理功能的权限
增加文档预处理环节，过滤特殊文件

实施建议

对于KCloud-Platform-IoT项目团队，建议采取以下步骤：

立即评估受影响模块的业务重要性
制定分阶段的升级计划
在测试环境充分验证新版本兼容性
特别注意自定义Excel处理逻辑的适配
更新相关文档和用户指引

长期稳定性建议

为避免类似问题再次发生，建议：

建立定期的依赖组件安全检查机制
制定明确的第三方库升级策略
关键业务模块考虑实现多层次的输入验证
文档处理功能增加环境隔离

通过系统性地解决这个问题，不仅可以提升KCloud-Platform-IoT项目的稳定性，也能为后续的架构演进打下更坚实的基础。

创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考