漏洞关键信息 CVE编号: CVE-2018-17169 漏洞类型: XML External Entity (XXE) 受影响版本: PrinterOn 4.1.4 及以下版本 攻击向量: 通过恶意构造的DTD在XML请求中攻击远程身份验证用户 漏洞影响: - 允许远程认证用户读取任意文件 - 实现服务器端请求伪造(SSRF)攻击 漏洞示例代码 恶意 XML ( ): 恶意 DTD ( ): 漏洞原理 1. 提交恶意XML文档至PrinterOn打印机发起打印任务。 2. 恶意DTD ( ) 被请求并处理,其中的外部实体(如 )被解析,读取目标系统上任意文件(例如 )。 3. 文件中的数据被嵌入到HTTP GET请求中,发送至攻击者的服务器(192.168.1.136)。