CVE-2025-14543RTI Connext Professional的核心库组件中存在XML外部实体引用(XXE)漏洞,这是由于对XML外部实体引用的限制不当导致的。该漏洞允许攻击者通过序列化数据外部链接进行攻击。受影响的版本范围较广,涵盖了从5.x到7.x的多个版本分支。攻击者无需用户交互或身份认证,即可通过网络利用此漏洞。此漏洞可能导致高机密性影响(如敏感信息泄露)和高可用性影响(如服务拒绝),对系统安全构成严重威胁。
该漏洞的根本原因在于RTI Connext Professional在解析序列化数据或配置信息时,使用的XML解析器未正确禁用外部实体引用。攻击者可以构造包含恶意DOCTYPE定义的XML数据,通过DDS通信协议发送给目标系统。当目标系统的核心库解析该XML数据时,会解析攻击者定义的外部实体(例如引用本地文件`file:///etc/passwd`或发起HTTP请求)。由于CVSS向量显示攻击无需认证(PR:N)且无交互(UI:N),攻击者可以远程批量扫描并利用此漏洞。成功的利用可能导致服务器敏感文件被读取(机密性影响)或因解析恶意数据导致服务崩溃(可用性影响)。