关键漏洞信息 漏洞概述 漏洞类型: XML External Entity (XXE) 影响: 文件披露和潜在的服务器端请求伪造 (SSRF) 受影响的产品及版本 产品: OpenClinica Community Edition - 版本: - 3.13 (Changeset 74f4df3481b6; 2017-02-28) - 3.12.2 (Changeset 347dcfca3d17; OpenClinica VM Image) 影响区域 功能: Import CRF Data 参数: multipart upload parameter ( ) 认证: 需要认证(测试了数据管理员和临床研究协调员角色) 总结 问题: XML 解析器处理外部实体,允许攻击者通过特制的 XML 文件读取本地文件(如 ) 漏洞名称: XXE(带有文件披露和潜在 SSRF) 概念验证 (PoC) evil.xml: malicious.dtd: 影响 内容: 可以读取任意本地文件(如密钥、配置等) 潜在: SSRF(可以通过指向内部 HTTP 服务的实体进行) 严重性 CVSS v3.1: 高(7.1) CWE: 611 (XXE) 缓解措施 配置: - 禁用 XML 解析器的 DTD/XXE 功能 - 在服务器端验证上传的 XML 文件 - 最小化 OpenClinica/Tomcat 用户的文件权限 时间线 发现及重现: 2025-10-09 联系厂商: 无响应 报告给 VulDB: 2025-10-23