CVE-2025-11700 - N-central importServiceFromFile XXE注入漏洞
概述
N-central版本低于2025.4存在XML外部实体注入漏洞,可导致信息泄露。
漏洞描述
N-central版本<2025.4存在XML外部实体注入漏洞,可能导致信息泄露。
基本信息
发布日期: 2025年11月12日 16:15
最后修改: 2025年11月12日 16:19
远程利用: 是
来源: a5532a13-c4dd-4202-bef1-e0b8f2f8d12b
受影响产品
以下产品受到CVE-2025-11700漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | N-able | n-central |
受影响厂商总数: 1 | 产品总数: 1
CVSS评分
评分: 8.4
版本: CVSS 4.0
严重性: 高危
来源: a5532a13-c4dd-4202-bef1-e0b8f2f8d12b
解决方案
- 将N-central更新至版本2025.4或更高版本
- 应用厂商提供的补丁(如果可用)
- 限制XML解析器访问
- 对XML输入进行清理
参考资源
CWE - 通用弱点枚举
CWE-611: XML外部实体引用限制不当
CAPEC - 通用攻击模式枚举和分类
CAPEC-221: 数据序列化外部实体爆炸
漏洞历史记录
新CVE接收时间: 2025年11月12日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | N-central版本<2025.4存在XML外部实体注入漏洞,可导致信息泄露 | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CWE | CWE-611 | |
| 添加 | 参考 | https://me.n-able.com/s/security-advisory/aArVy0000000rabKAA/cve202511700-ncentral-importservicefromfile-xxe-injection |