CVE-2025-66371 - Peppol-py XXE文件泄露漏洞
概述
CVSS 3.1 评分:5.0(中危)
漏洞描述
peppol-py 1.1.1之前版本存在XML外部实体(XXE)攻击漏洞,该漏洞源于Saxon配置问题。在验证基于XML的发票时,XML解析器可能读取文件系统中的文件,并将其内容暴露给远程主机。
关键时间线
- 发布日期:2025年11月28日 04:16
- 最后修改日期:2025年11月28日 04:16
- 远程利用:是
- 信息来源:cve@mitre.org
受影响产品
目前尚未记录具体的受影响产品信息。
- 受影响厂商总数:0
- 受影响产品数:0
CVSS评分详情
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 5.0 | CVSS 3.1 | 中危 | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N | 3.1 | 1.4 | cve@mitre.org |
| 5 | CVSS 3.1 | 中危 | 3.1 | 1.4 | MITRE-CVE |
解决方案
- 升级版本:将peppol-py升级至1.1.1或更高版本以修复XXE漏洞。
- 配置调整:应用特定的Saxon配置进行XML解析。
- 安全设置:在XML解析器中禁用外部实体处理。
- 配置验证:验证XML处理配置的安全性。
参考资源
| URL | 资源描述 |
|---|---|
| https://github.com/iterasdev/peppol-py/pull/16 | GitHub修复请求 |
| https://github.com/iterasdev/peppol-py/releases/tag/1.1.1 | 版本发布信息 |
相关弱点分类(CWE)
- CWE-611:XML外部实体引用限制不当
常见攻击模式分类(CAPEC)
- CAPEC-221:数据序列化外部实体爆炸攻击
漏洞历史记录
| 时间 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年11月28日 | 新增 | 描述 | Peppol-py before 1.1.1 allows XXE attacks because of the Saxon configuration. When validating XML-based invoices, the XML parser could read files from the filesystem and expose their content to a remote host. | |
| 2025年11月28日 | 新增 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N | |
| 2025年11月28日 | 新增 | CWE | CWE-611 | |
| 2025年11月28日 | 新增 | 参考链接 | https://github.com/iterasdev/peppol-py/pull/16 | |
| 2025年11月28日 | 新增 | 参考链接 | https://github.com/iterasdev/peppol-py/releases/tag/1.1.1 |
漏洞评分详情(CVSS 3.1)
- 基础CVSS评分:5.0
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:无
- 影响范围:已更改
- 机密性影响:低
- 完整性影响:无
- 可用性影响:无