CVE-2024-13971 CVSS 7.5 高危

CVE-2024-13971 Lobster_pro XML外部实体注入漏洞

披露日期: 2026-04-30

来源: 23637b5d-af4c-4cf9-b8f6-deb7fd0f8423

漏洞信息

漏洞编号

CVE-2024-13971

漏洞类型

XML外部实体注入 (XXE)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Lobster_pro

漏洞概述

Lobster_pro 4.12.6-GA 之前版本存在 XML 解析器配置不当的漏洞。由于未对用户提供的 XML 输入进行严格的安全过滤，未经身份验证的攻击者可利用该缺陷发起 XXE 攻击。该漏洞允许攻击者读取服务器上的敏感文件，访问相邻网络共享资源，并诱导服务器向任意内部或外部服务发送 HTTP GET 请求，可能导致敏感数据泄露。

技术细节

该漏洞的核心在于 Lobster_pro 应用程序处理 XML 数据时，未禁用外部实体的解析（DTD）。在标准的 XML 解析器中，如果允许加载外部实体，攻击者可以通过构造恶意的 XML 载荷，定义一个指向本地文件系统（如 /etc/passwd）或内网网络资源（如 http://169.254.169.254/latest/meta-data/）的实体。当服务器解析该 XML 时，解析器会根据攻击者的定义读取目标文件内容，并将数据返回在响应中，或者向目标 URL 发起请求。由于无需认证即可触发，攻击者只需向存在漏洞的接口发送包含恶意 DTD 定义的 POST 数据包，即可利用 SSRF（服务端请求伪造）或本地文件读取功能获取敏感信息。

攻击链分析

STEP 1

侦察与发现

攻击者识别出目标系统运行的是 Lobster_pro 且版本低于 4.12.6-GA，并发现存在接收 XML 输入的接口。

STEP 2

载荷构造

攻击者构造包含恶意 DTD 定义的 XML 数据，定义一个外部实体指向敏感文件（如 /etc/passwd）或内网 URL。

STEP 3

漏洞利用

攻击者向目标服务器发送特制的 HTTP 请求，无需身份认证，将恶意 XML 数据提交给解析器。

STEP 4

数据回传

服务器解析 XML 时加载外部实体，读取文件内容或请求网络资源，并将结果返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ 
  <!ENTITY xxe SYSTEM "file:///etc/passwd"> 
]>
<root>&xxe;</root>

<!-- Alternatively for HTTP GET attack -->
<!--
<!DOCTYPE foo [ 
  <!ENTITY xxe SYSTEM "http://internal-server/secret"> 
]>
<root>&xxe;</root>
-->

影响范围

Lobster_pro < 4.12.6-GA

防御指南

临时缓解措施

如果无法立即升级，建议在应用层面对 XML 解析库进行配置，显式设置 feature 属性以禁止外部实体解析。同时，通过网络防火墙限制服务器对外发起的非必要 HTTP 连接，以防止 SSRF 攻击带来的数据外泄风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表