长亭百川云

长亭百川云

技术讨论长亭漏洞情报库 IP 威胁情报 SLA 在线工具

热门产品

雷池 WAF 社区版

IP 威胁情报

网站安全监测

百川漏扫服务

百川云

长亭漏洞情报库

安全社区

CT STACK 安全社区

雷池社区版

XRAY 扫描工具

长亭科技

长亭科技官网

万众合作伙伴商城

长亭 BBS 论坛

关注或联系我们

添加百川云公众号，移动管理云安全产品

咨询热线：

4000-327-707

百川公众号

百川公众号

百川云客服

百川云客服

Copyright ©2024 北京长亭科技有限公司

京ICP备2024055124号-2

深信服数据中心管理系统 /src/sangforindex XML实体注入漏洞-长亭百川云平台

高危

深信服数据中心管理系统 /src/sangforindex XML实体注入漏洞

披露时间：

2023-08-13

更新时间：

2025-04-01

CT 编号

CT-838973

CVE 编号

N/A

CNVD 编号

N/A

CNNVD 编号

N/A

原理分类

XXE

漏洞评分

8.6

漏洞描述

深信服数据中心管理系统 /src/sangforindex XML实体注入漏洞

漏洞危害

利用 XXE 进行 DOS 攻击；
读取本地任意敏感文件；
利用相关协议探测内网主机 IP、端口等信息；
在特定条件下利用 Java 中的 jar:// 协议，php 中的 phar:// 可能导致恶意文件上传；
PHP 中如果安装了 expect 扩展，可利用 XXE 执行任意命令。

修复方法

1.升级至官网最新版本
https://support.sangfor.com.cn/?pageType=2
2.联系产品售后工程师申请获得具体修复补丁

评分维度

长亭安全产品覆盖情况

雷池（SafeLine）下一代Web应用防火墙

洞鉴（X-Ray）安全评估系统

云图（Cloud Atlas）攻击面管理运营平台

牧云（CloudWalker）主机安全管理平台

全悉（T-ANSWER）高级威胁分析预警系统

谛听（D-Sensor）伪装欺骗系统

漏洞时间线

漏洞披露
2023-08-13
漏洞信息更新
2025-04-01