【漏洞通报】Apache Jackrabbit XXE漏洞

漏洞情况

近期，火山信安实验室监测发现，Apache Jackrabbit存在XML外部实体注入（XXE）漏洞（CVE-2023-42794）。漏洞存在于Jackrabbit的WebDAV/REST接口或文件上传功能中，当系统解析用户提交的XML数据时未禁用外部实体解析。

0x01漏洞利用方式

攻击者可通过上传精心构造的恶意XML文件，利用XXE漏洞中的<!ENTITY>实体引用机制读取服务器敏感文件（如/etc/passwd、系统配置文件等），同时结合gopher://或http://协议发起内网服务探测，扫描数据库、中间件等内部端口的开放情况；此外，攻击者还可通过递归实体引用触发XXE的“实体膨胀”攻击，导致服务器资源耗尽，最终造成拒绝服务（DoS）。

0x02影响范围

• Apache Jackrabbit Oak ≤ 1.42.0
• Apache Jackrabbit FileVault ≤ 3.5.0
• 其他依赖Jackrabbit的CMS系统（如Adobe AEM、Magnolia CMS等）

0x03修复方案

1. 升级至最新稳定版本（如Oak 1.42.1+或FileVault 3.5.1+）
2. 启用Jackrabbit的访问控制（ACL），限制匿名用户上传权限
3. 定期审计日志，监控异常XML请求 来源自：广州盈基信息官网