关键信息总结 漏洞概述 漏洞类型: 盲XEE(XML外部实体注入) 影响范围: Feng Office 3.2.2.1 至 3.11.8.0 版本 CVSS评分: 6.5 (中等) 漏洞细节 CVE编号: CVE-2021-47965 CWE分类: - CWE-611: 不当限制XML外部实体引用 - CWE-918: 服务器端请求伪造(SSRF) - CAPEC-201: 序列化数据外部链接 - CAPEC-606: 服务器端请求伪造 漏洞代码位置 漏洞利用方式 攻击者可以通过上传包含恶意XML内容的文档来触发漏洞。 利用 库中的 选项,攻击者可以加载并解析文档中引用的外部实体。 复现步骤 使用包含恶意XML内容的文档进行上传。 文档内容示例: 通过日志文件提取泄露的数据。 缓解措施 审查和验证XML文件的内容,确保不加载任何外部实体,包括DTD。 ``` 这些关键信息可以帮助安全研究人员和开发人员更好地理解和应对该漏洞。