漏洞概述
opensagres XDocReport v0.9.2 至 v2.0.3 版本中存在一个 XML 外部实体(XXE)漏洞。攻击者可通过上传特制的 .docx 文件,利用该漏洞执行任意代码,从而对系统造成严重安全威胁。
漏洞详情
- CVE 编号:CVE-2025-65482
- 漏洞类型:XML 外部实体(XXE)
- CVSS 评分:暂未提供
- 影响版本:opensagres XDocReport v0.9.2 至 v2.0.3
影响范围
所有使用 opensagres XDocReport 组件且版本在 v0.9.2 至 v2.0.3(含)之间的系统均可能受到此漏洞影响,特别是在处理用户上传的 .docx 文档时未进行安全过滤的场景。
风险分析
攻击者可构造恶意 .docx 文件,利用 XXE 漏洞读取服务器本地文件、发起 SSRF 攻击,甚至在特定条件下实现远程代码执行(RCE),从而完全控制受影响系统。该漏洞若被利用,可能导致敏感信息泄露、服务中断或系统被植入后门等严重后果。
修复建议
- 建议用户尽快升级至 opensagres XDocReport 的安全版本(高于 v2.0.3),以修复该 XXE 漏洞。
- 在无法立即升级的情况下,应禁止处理不可信来源的 .docx 文件,或在解析 XML 内容前禁用外部实体解析(如设置 XML 解析器的安全特性)作为临时缓解措施。
