支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2017-17762 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Episerver 7 patch 4 及更早版本存在 XML 外部实体 (XXE) 漏洞,远程攻击者可以通过精心构造的 DTD 在 XML 请求中读取任意文件。

## 影响版本
- Episerver 7 patch 4 及更早版本

## 漏洞细节
攻击者可以通过包含精心构造的 DTD 的 XML 请求利用此漏洞。具体来说,攻击者可以通过向 `util/xmlrpc/Handler.ashx` 发送包含恶意 DTD 的 XML 请求来触发漏洞。

## 漏洞影响
该漏洞允许远程攻击者读取服务器上的任意文件,可能会导致敏感信息泄露和其他安全问题。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞允许远程攻击者通过构造特定的DTD(文档类型定义)在XML请求中利用`util/xmlrpc/Handler.ashx`,从而读取服务器上的任意文件。这属于Web服务端的漏洞,因为它影响了服务器处理XML输入的方式,并可能导致敏感信息泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
XML external entity (XXE) vulnerability in Episerver 7 patch 4 and earlier allows remote attackers to read arbitrary files via a crafted DTD in an XML request involving util/xmlrpc/Handler.ashx.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Episerver 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
EPiServer是瑞典EPiServer公司的一套基于.NET的Web内容管理系统和在线社交网络平台。 EpiServer 7 patch 4及之前版本中存在XML外部实体注入漏洞。远程攻击者可借助XML请求中特制的DTD利用该漏洞读取任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-17762 的公开POC
#POC 描述源链接神龙链接
1Episerver 7 patch 4 and earlier contains an XML external entity (XXE) caused by processing crafted DTD in XML requests involving util/xmlrpc/Handler.ashx, letting remote attackers read arbitrary files, exploit requires sending malicious XML payloads. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2017/CVE-2017-17762.yamlPOC详情
三、漏洞 CVE-2017-17762 的情报信息
四、漏洞 CVE-2017-17762 的评论

暂无评论

发表评论