CVE-2026-38429OpenCMS v20及之前版本在Admin Import DB功能中存在严重的XML外部实体(XXE)漏洞。由于系统对用户上传的ZIP压缩包中的manifest.xml文件处理不当,导致不安全的XML解析。未经身份验证的远程攻击者可利用此漏洞,通过构造恶意XML实体,读取服务器上的敏感文件、发起SSRF攻击或导致拒绝服务,该漏洞对系统的机密性、完整性和可用性均造成严重影响。
该漏洞根源在于OpenCMS的Admin Import DB功能模块中,XML解析库未正确配置安全属性。具体而言,当系统处理用户上传的ZIP压缩包时,会自动解压并读取其中的manifest.xml文件。由于解析器默认支持DTD(文档类型定义)并允许加载外部实体,攻击者可以精心构造一个包含恶意DTD定义的XML文件。通过定义实体引用SYSTEM "file:///"或SYSTEM "http://",攻击者可以诱导服务器读取本地敏感文件(如配置文件、密钥)或向内部网络发起请求(SSRF)。利用过程无需任何用户交互或权限认证,攻击者仅需发送特制HTTP请求上传恶意ZIP包即可触发解析,导致敏感信息泄露或系统资源耗尽。