从这个网页截图中可以获取到以下关于漏洞的关键信息: XXE漏洞信息 - 2021-06-28 - XXE漏洞 - 发布时间: 2021年6月28日 - 受影响项目: service-api - 受影响版本: 从3.1.0开始的所有版本 - CVE编号: CVE-2021-29620 - 访问向量: 远程 - 安全风险: 高 - 总结: 从3.1.0版本开始,service-api引入了XML解析功能,但XML解析器配置不当,未能防止XML外部实体(XXE)攻击。攻击者可以导入特制的XML文件,通过外部引用提取Report Portal service-api模块或服务器端请求伪造的机密信息。 - 修复措施: 建议用户安装最新的修复版本,如docker pull reportportal/service-api:5.4.0。 - 联系方式: support@reportportal.io - 2020-05-04 - XXE漏洞 - 发布时间: 2020年5月4日 - 受影响项目: service-api - 受影响版本: 从3.1.0开始的所有版本 - CVE编号: CVE-2020-12642 - 访问向量: 远程 - 安全风险: 高 - 总结: 从3.1.0版本开始,Report Portal引入了JUnit XML启动导入新功能,但XML解析器配置不当,未能防止XXE攻击。攻击者可以导入特制的XML文件,利用外部实体提取Report Portal service-api模块或服务器端请求伪造的机密信息。 - 修复措施: 建议用户安装最新版本,如RP v4: docker pull reportportal/service-api:4.3.12,RP v5: docker pull reportportal/service-api:5.1.1。 - 致谢: 该问题由外部安全研究员Julien M.报告,团队感谢其报告此问题。 - 联系方式: support@reportportal.io