漏洞概述 漏洞类型:XML外部实体(XXE)注入 严重程度:高(CVSS 7.8) 受影响组件:SVG文件上传/处理 认证要求:是(管理员权限) 描述:在Grav CMS中发现了一个安全漏洞,允许经过身份验证的攻击者通过XML外部实体(XXE)注入从服务器读取任意文件。 影响范围 受影响版本:Grav CMS <= 1.7.x 修复版本:2.0.0-beta.2 修复方案 1. 添加XXE保护标志: 2. 使用SVG Sanitizer库(推荐): POC代码 维护者说明 修复应用日期:2026-04-24 修复内容: - 在 分支中, 方法现在剥离 和 声明,并在解析前调用 ,使用 、 、 标志。在PHP < 8中,还调用 。 - 库现在应用相同的 剥离,并传递 到 / 。 文件列表 请求 1. 请在5个工作日内确认收到此报告。 2. 请提供安全补丁的预计时间线。 3. 我很乐意协助测试修复。 4. 请为此漏洞分配一个CVE。 5. 如果您有安全公告流程,请包括我的名字在致谢中。 致谢 感谢Turki Almarzooqi的报告。