【漏洞预警】OpenCMS XXE漏洞CVE-2023-42344

漏洞描述:
OpenCMS是由 Alkacon Software 开发的一款功能强大的开源 Web 内容管理系统，它基于Java 和 XML技术，可帮助用户快速高效地创建精美的网站。近日监测到OpenCMS中存在一个XML外部实体注入（XXE）漏洞（CVE-2023-42344），目前该漏洞的PoC已公开。由于服务端接收和解析了来自用户端的 XML 数据，且未对引用的外部实体进行适当处理，导致容易受到XML外部实体注入（XXE）攻击。未经身份验证的远程威胁者可向服务端发送带有XXE Payload的恶意 HTTP POST 请求，成功利用可能导致任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。

 
影响范围:

OpenCMS 9.0.0 - 10.5.0

安全措施:
升级版本:
目前该漏洞已经修复，受影响用户可升级到OpenCMS 10.5.1或更高版本。

下载链接：
http://www.opencms.org/en/

临时措施:
通用建议
定期更新系统补丁，减少系统漏洞，提升服务器的安全性

1.加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面

2.使用企业级安全产品，提升企业的网络安全性能

3.加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度

4.启用强密码策略并设置为定期修改


参考链接:

https://labs.watchtowr.com/xxe-you-can-depend-on-me-opencms/

https://blog.qualys.com/product-tech/2023/12/08/opencms-unauthenticated-xxe-vulnerability-cve-2023-42344