基本信息

平台编号： POC-2024-85830 影响厂商： OpenCms 厂商官网： http://www.opencms.org/ 组件分类： 内容管理系统 漏洞类别： XML外部实体注入(XXE) 风险等级： 中危 CVSS 3.X： 待分析 是否有POC： 是 CVE 编号： CVE-2023-42344 CNVD 编号： N/A EZ 是否支持： EZ 不支持 提交时间： 2024-01-02 访问次数： 25

漏洞描述

Alkacon OpenCms是一套使用Java语言开发的开源内容管理系统（CMS）。 Alkacon OpenCms 11.0, 11.0.1 和 11.0.2版本存在代码问题漏洞，该漏洞源于软件缺乏对于XML外部实体的有效限制，漏洞允许具有编辑权限的远程认证用户通过上传精心制作的SVG文档从服务器的文件系统中过滤文件。

影响范围

OpenCMS 9.0.0 - 10.5.0

漏洞详情

暂无详情

POC 代码

游客没有权限查看 POC，请登录后查看！

加固建议

目前该漏洞已经修复，受影响用户可升级到OpenCMS 10.5.1或更高版本。

参考来源

https://blog.qualys.com/product-tech/2023/12/08/opencms-unauthenticated-xxe-vulnerability-cve-2023-42344