北京易普拉格科技股份有限公司研发的“科研创新服务平台”存在 XXE 漏洞预警
1、基本情况
近期监测发现北京易普拉格科技股份有限公司研发的“科研创新服务平台”存在 XXE 漏洞,该平台主要用于项目申报、成果登记、经费管理、科研考核等工作。经分析,攻击者可利用该漏洞加载恶意文件,从而导致未授权数据访问、远程代码执行等危害。全国约 50 家高校、教育机构等使用了该平台并存在上述漏洞。
鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护,以免遭受黑客攻击。
2、影响范围
受影响版本
科研创新服务平台
3、处置建议
1) 对 XML 输入进行验证和过滤:在解析 XML 数据之前,对输入进行严格的验证和过滤,确保不包含恶意内容或外部实体引用。
2) 禁用外部实体引用:在 XML 解析器的配置中,禁用对外部实体引用的处理,防止加载恶意的外部实体。
3) 使用安全的 XML 解析库:选择经过安全验证的 XML 解析库,确保其对外部实体引用的处理是安全的。
4) 更新和修补应用程序:定期更新和修补应用程序及其依赖的库和框架,确保它们不包含已知的 XXE 漏洞