CVE-2026-40042 CVSS 9.8 严重

CVE-2026-40042 Pachno XML外部实体注入漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40042

漏洞类型

XML外部实体注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Pachno

漏洞概述

Pachno 1.0.6版本存在XML外部实体注入（XXE）漏洞。该漏洞源于TextParser helper中的不安全XML解析，且未启用LIBXML_NONET限制。未经身份验证的攻击者可以通过问题描述、评论或Wiki文章中的Wiki表格语法和内联标签注入恶意XML实体，从而读取服务器上的任意文件。

技术细节

该漏洞的核心在于Pachno的TextParser组件在处理用户输入时，使用了PHP的`simplexml_load_string()`函数解析XML数据，但未禁用外部实体的解析（缺少`LIBXML_NONET`标志）。攻击者无需登录即可利用此漏洞，通过在Wiki表格或内联标签中构造恶意的XML DTD（文档类型定义），触发XXE攻击。由于解析器会尝试解析攻击者指定的外部实体，攻击者可以利用`file://`协议读取服务器上的敏感文件（如`/etc/passwd`、应用配置文件或源代码等）。由于CVSS评分显示机密性、完整性和可用性均受到高影响，该漏洞危害性极高，整个过程无需用户交互即可通过网络远程触发。

攻击链分析

STEP 1

侦察

攻击者识别出目标系统运行的是Pachno 1.0.6或受影响的版本。

STEP 2

构造载荷

攻击者构造包含恶意XML外部实体（XXE）的Payload，旨在读取服务器敏感文件。

STEP 3

注入载荷

攻击者无需认证，直接在Wiki文章、问题描述或评论中，利用Wiki表格语法或内联标签提交包含恶意XML实体的数据。

STEP 4

解析与执行

服务器端的TextParser helper使用simplexml_load_string()解析输入数据，由于未限制外部实体，解析器读取了攻击者指定的本地文件。

STEP 5

信息泄露

解析后的文件内容被回显给攻击者，导致敏感信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?xml version="1.0" encoding="UTF-8"?>
<!-- XXE Payload to read /etc/passwd -->
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo>&xxe;</foo>

/*
Usage:
1. Login or access the Pachno instance as an unauthenticated user (if allowed).
2. Navigate to an issue description, comment, or wiki article.
3. Insert the payload using Wiki table syntax or inline tags.
4. Submit the content.
5. The server parses the XML and returns the content of /etc/passwd in the response.
*/

影响范围

Pachno 1.0.6

防御指南

临时缓解措施

建议立即升级Pachno到修复了该漏洞的最新版本。如果暂时无法升级，应在服务器防火墙层面限制对Pachno服务的非必要访问，并部署Web应用防火墙（WAF）规则，检测并拦截包含DOCTYPE、ENTITY等XML外部实体特征的恶意请求流量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表