CVE-2023-42346Alkacon OpenCms是一款基于Java和XML的开源内容管理系统。在16版本之前,系统存在XML外部实体注入(XXE)漏洞。该漏洞源于应用程序在解析用户提供的XML数据时,未能正确禁用外部实体的处理。攻击者可以利用包含恶意DOCTYPE定义的XML文件,引用外部主机资源。由于此漏洞无需用户交互且无需身份认证,远程攻击者可轻易利用该漏洞,造成敏感信息泄露。该漏洞CVSS评分为7.5,属于高危级别,对系统安全性构成严重威胁。
CVE-2023-42346漏洞主要影响Alkacon OpenCms 16之前的版本。其根本原因在于系统使用的XML解析器未配置安全特征,允许处理文档类型定义(DTD)中的外部实体。当攻击者向受影响的应用程序提交特制的XML文档(例如通过文件上传或配置导入接口)时,如果该文档包含指向外部主机或本地文件的<!DOCTYPE>声明,解析器会尝试解析该实体。攻击者可以通过构造SYSTEM实体标识符,读取服务器上的任意文件(如/etc/passwd)或发起SSRF攻击。由于CVSS向量显示无需权限(PR:N)且影响范围广,该漏洞可被自动化工具大规模探测利用,导致服务器敏感配置信息泄露。