关于OpenCMS XXE漏洞（CVE-2023-42344）的预警提示

发布时间：2024-02-23浏览次数：31

一、漏洞详情 OpenCMS是一款功能强大的开源Web内容管理系统。 近日，监测到OpenCMS中存在一个XML外部实体注入（XXE）漏洞（CVE-2023-42344）。由于服务端接收和解析了来自用户端的XML数据，且未对引用的外部实体进行适当处理，导致容易受到XML外部实体注入（XXE）攻击。未经身份验证的远程威胁者可向服务端发送带有XXE Payload的恶意HTTP POST请求，成功利用可能导致任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 OpenCMS 9.0.0 - 10.5.0 三、修复建议 目前该漏洞已经修复，受影响用户可升级到OpenCMS 10.5.1或更高版本。