漏洞总结:Pachno 1.0.6 Wiki TextParser XXE 漏洞 漏洞概述 Pachno 是一个开源协作平台(前身为 The Bug Genie),用于团队项目管理、问题跟踪和文档记录。在 1.0.6 版本中,Wiki 文本解析器存在 XML 外部实体注入(XXE)漏洞。 漏洞详情: 输入通过 wiki 表格语法( )和行内标签( , , 等)被解析 内容被连接成 XML 字符串并由 解析 未设置 或限制实体解析 攻击者可读取任意本地文件(通过 协议) 可执行服务器端请求伪造(SSRF) 可通过反射的 XML 属性值泄露响应体 利用条件: 需要认证会话 需要创建或编辑内容的权限 内容需通过 wiki 解析器渲染 缓解条件: PHP 7.4+ 且 libxml2 >= 2.9.0 时,漏洞被底层库缓解,但代码模式仍不安全 影响范围 受影响版本: Pachno 1.0.6 测试环境: GNU/Linux, Apache2, PHP 7.4, MySQL/5.7 (MariaDB) CVSS 评分: HIGH CVE 编号: CVE-2026-40042 ZSL 编号: ZSL-2026-9984 修复方案 升级至使用 libxml2 >= 2.9.0 的 PHP 7.4+ 环境(部分缓解) 根本修复需修改代码,避免使用 解析用户输入,或设置 并限制实体解析 POC 代码 披露时间线 06.04.2026: 漏洞发现 09.04.2026: 联系厂商 11.04.2026: 无厂商响应 12.04.2026: 公开安全公告发布 致谢 漏洞由 Gjoko Kratic 发现 参考链接 [1] https://www.cve.org/CVERecord?id=CVE-2026-40042 [2] https://www.zerodayinitiative.com/advisories/pachno-wiki-textparser-xml-external-entity-injection [3] https://github.com/zslabs/pachno/files/1210000/