CVE-2025-66372 - Mustang XML外部实体 (XXE) 文件外泄漏洞
概述
CVE-2025-66372 是 Mustang 项目在 2.16.3 版本之前存在的一个安全漏洞,允许攻击者通过 XML 外部实体 (XXE) 攻击方式外泄文件。
漏洞描述
Mustang 在 2.16.3 之前的版本允许通过 XXE 攻击外泄文件。
- 发布时间:2025年11月28日 04:16
- 最后修改时间:2025年11月28日 04:16
- 远程利用:否
- 来源:cve@mitre.org
受影响产品
目前已记录到 0 个受影响的产品。
- 受影响供应商总数:0
- 产品总数:0
CVSS 评分
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 2.8 | CVSS 3.1 | 低 | 1.1 | 1.4 | cve@mitre.org | |
| 2.8 | CVSS 3.1 | 低 | 1.1 | 1.4 | MITRE-CVE |
详细评分
- 基础 CVSS 评分:2.8
- 攻击向量:本地 (AV:L)
- 攻击复杂度:高 (AC:H)
- 所需权限:低 (PR:L)
- 用户交互:无 (UI:N)
- 作用域:已变更 (S:C)
- 机密性影响:低 (C:L)
- 完整性影响:无 (I:N)
- 可用性影响:无 (A:N)
解决方案
为防止 XXE 文件外泄,请采取以下措施:
- 更新软件:将 Mustang 更新至 2.16.3 或更高版本。
- 禁用外部实体:如有可能,请禁用外部 XML 实体。
- 验证输入:对所有 XML 输入进行彻底验证。
参考资源(建议、解决方案与工具)
| 资源链接 |
|---|
| https://github.com/ZUGFeRD/mustangproject/pull/725 | | https://github.com/ZUGFeRD/mustangproject/releases/tag/core-2.16.3 |
CWE - 常见缺陷枚举
CVE-2025-66372 与以下 CWE 关联:
- CWE-611:对 XML 外部实体引用的限制不当
常见攻击模式枚举与分类 (CAPEC)
存储了攻击者利用 CVE-2025-66372 弱点时采用的常见属性和方法的描述。
- CAPEC-221:数据序列化外部实体膨胀
漏洞时间线
| 日期 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年11月28日 | 新增 | 描述 | Mustang before 2.16.3 allows exfiltrating files via XXE attacks. | |
| 2025年11月28日 | 新增 | CVSS V3.1 | AV:L/AC:H/PR:L/UI:N/S:C/C:L/I:N/A:N | |
| 2025年11月28日 | 新增 | CWE | CWE-611 |
| 2025年11月28日 | 新增 | 参考 | | https://github.com/ZUGFeRD/mustangproject/pull/725 | | 2025年11月28日 | 新增 | 参考 | | https://github.com/ZUGFeRD/mustangproject/releases/tag/core-2.16.3 |