关于OpenCMS XXE漏洞(CVE-2023-42344)的预警提示

发布者:jsut发布时间:2024-01-12浏览次数:638

一、漏洞详情

OpenCMS是一款功能强大的开源Web内容管理系统。

近日,监测到OpenCMS中存在一个XML外部实体注入(XXE)漏洞(CVE-2023-42344)。由于服务端接收和解析了来自用户端的XML数据,且未对引用的外部实体进行适当处理,导致容易受到XML外部实体注入(XXE)攻击。未经身份验证的远程威胁者可向服务端发送带有XXE Payload的恶意HTTP POST请求,成功利用可能导致任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

OpenCMS 9.0.0 - 10.5.0

三、修复建议

目前该漏洞已经修复,受影响用户可升级到OpenCMS 10.5.1或更高版本。