中危 Kirby 安全漏洞(CVE-2023-38490)
CVE编号
CVE-2023-38490利用情况
暂无补丁情况
官方补丁披露时间
2023-07-27漏洞描述
Kirby是一种内容管理系统。在3.5.8.3、3.6.6.3、3.7.5.2、3.8.4.1和3.9.6之前的版本中存在漏洞,仅影响使用`Xml`数据处理器的Kirby站点(例如`Data::decode($string, 'xml')`)或站点或插件代码中的`Xml::parse()`方法。其中,Kirby核心不使用任何受影响的方法。攻击者可以利用XML外部实体(XXE)特性,控制外部文件的名称,将其包含在XML结构中,漏洞可被用于各种系统影响,如泄露存储在服务器上的内部或机密数据(任意文件公开)或代表服务器执行网络请求(服务器端请求伪造,SSRF)。已在Kirby 3.5.8.3、3.6.6.3、3.7.5.2、3.8.4.1和3.9.6中修复了此问题,通过删除`LIBXML_NOENT`常量来防止外部实体的处理。解决建议
"将组件 getkirby/cms 升级至 3.8.4.1 及以上版本""将组件 getkirby/cms 升级至 3.9.6 及以上版本""将组件 getkirby/cms 升级至 3.6.6.3 及以上版本""将组件 getkirby/cms 升级至 3.5.8.3 及以上版本""将组件 getkirby/cms 升级至 3.7.5.2 及以上版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | getkirby | kirby | * | From (including) 3.5.0 | Up to (excluding) 3.5.8.3 | ||||
| 运行在以下环境 | |||||||||
| 应用 | getkirby | kirby | * | From (including) 3.6.0 | Up to (excluding) 3.6.6.3 | ||||
| 运行在以下环境 | |||||||||
| 应用 | getkirby | kirby | * | From (including) 3.7.0 | Up to (excluding) 3.7.5.2 | ||||
| 运行在以下环境 | |||||||||
| 应用 | getkirby | kirby | * | From (including) 3.8.0 | Up to (excluding) 3.8.4.1 | ||||
| 运行在以下环境 | |||||||||
| 应用 | getkirby | kirby | * | From (including) 3.9.0 | Up to (excluding) 3.9.6 | ||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-611 | XML外部实体引用的不恰当限制(XXE) |
| CWE-776 | DTD中递归实体索引的不恰当限制(XML实体扩展) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论