漏洞概述 漏洞编号: Bug 2498941 (CVE-2026-15378) 漏洞名称: quadraills-detectors: SSRF and local file read via user-supplied XML Schema (xml-with-schema) 报告时间: 2026-07-10 08:23 UTC 修改时间: 2026-07-10 09:20 UTC 状态: NEW 产品: Security Response 组件: vulnerability 操作系统: All 硬件: All 优先级: high 严重性: high 影响范围 漏洞类型: 盲SSRF(Server-Side Request Forgery)和本地文件读取 受影响的服务: 云元数据服务、内部端点、本地文件读取 具体影响: - 攻击者可以通过构造恶意XML Schema字符串,触发盲SSRF,访问云元数据服务、内部MinIO、Kubernetes API等。 - 攻击者还可以读取本地文件,如服务账户令牌和私钥。 修复方案 当前状态: 未修复 建议措施: - 对输入进行严格验证,防止恶意XML Schema字符串的注入。 - 限制XML解析器的功能,避免解析外部实体和URL。 - 定期更新和修补相关软件,确保使用最新版本。 POC代码 来源 项目: Glasswing (Mythos) security audit 审计参考: rhai-3.4 @ 2977a149008e670f7210a5921e95d4f6c9a269