一、漏洞详情
OpenCMS是一款功能强大的开源Web内容管理系统。
近日,监测到OpenCMS中存在一个XML外部实体注入(XXE)漏洞(CVE-2023-42344)。由于服务端接收和解析了来自用户端的XML数据,且未对引用的外部实体进行适当处理,导致容易受到XML外部实体注入(XXE)攻击。未经身份验证的远程威胁者可向服务端发送带有XXE Payload的恶意HTTP POST请求,成功利用可能导致任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
OpenCMS 9.0.0 - 10.5.0
三、修复建议
目前该漏洞已经修复,受影响用户可升级到OpenCMS 10.5.1或更高版本。