Based on the provided image, here is the summary of the vulnerability information: 漏洞概述 漏洞名称: XML External Entity (XXE) Injection via Unsafe XmlTextReader in XML file and Schema loading 受影响产品: Microsoft .NET Framework (specifically and ) 漏洞描述: .NET Framework 默认不启用外部实体解析,但可以通过将 的 属性设置为 来启用。这允许攻击者利用 XXE 漏洞读取本地文件、发起 SSRF 攻击或导致拒绝服务(DoS)。 严重程度: 严重 (Severe) CVSS 评分: 8.1 / 10 影响范围 受影响版本: 2.0.0.21 受影响组件: , 具体影响: 任何打开配置文件的用户都可能受到 XXE 攻击。 如果攻击者能控制 XML 文件,可以读取本地文件(如 )。 如果攻击者能控制 XML 文件,可以发起 SSRF 攻击(访问内部网络服务)。 如果攻击者能控制 XML 文件,可以导致拒绝服务(DoS)。 修复方案 官方建议: 不要将 的 属性设置为 ,除非明确需要解析 DTD。 缓解措施 (Mitigation): 在加载 XML 文件之前,使用 设置 为 。 在加载 XML Schema 之前,使用 设置 为 。 如果必须解析 DTD,应禁用外部实体解析( 设置为 )。 如果必须解析 DTD,应禁用外部网络服务访问( 设置为 )。 POC 代码 / 利用代码 漏洞概述 漏洞名称: XML External Entity (XXE) Injection via Unsafe XmlTextReader in XML file and Schema loading 受影响产品: Microsoft .NET Framework (specifically and ) 漏洞描述: .NET Framework 默认不启用外部实体解析,但可以通过将 的 属性设置为 来启用。这允许攻击者利用 XXE 漏洞读取本地文件、发起 SSRF 攻击或导致拒绝服务(DoS)。 严重程度: 严重 (Severe) CVSS 评分: 8.1 / 10 影响范围 受影响版本: 2.0.0.21 受影响组件: , 具体影响: 任何打开配置文件的用户都可能受到 XXE 攻击。 如果攻击者能控制 XML 文件,可以读取本地文件(如 )。 如果攻击者能控制 XML 文件,可以发起 SSRF 攻击(访问内部网络服务)。 如果攻击者能控制 XML 文件,可以导致拒绝服务(DoS)。 修复方案 官方建议: 不要将 的 属性设置为 ,除非明确需要解析 DTD。 缓解措施 (Mitigation): 在加载 XML 文件之前,使用 设置 为 。 在加载 XML Schema 之前,使用 设置 为 。 如果必须解析 DTD,应禁用外部实体解析( 设置为 )。 如果必须解析 DTD,应禁用外部网络服务访问( 设置为 )。 POC 代码 / 利用代码