Podatność XML External Entity (XXE) w bibliotece opensagres XDocReport wersjach 0.9.2–2.0.3 umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze poprzez przesłanie specjalnie spreparowanego pliku .docx. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z braku wymagań co do uwierzytelnienia i możliwości pełnego przejęcia systemu.
▸ Pokaż oryginał (EN)
An XML External Entity (XXE) vulnerability in opensagres XDocReport v0.9.2 to v2.0.3 allows attackers to execute arbitrary code via uploading a crafted .docx file.
Biblioteka XDocReport przetwarza pliki .docx (będące archiwami ZIP zawierającymi dokumenty XML) bez odpowiedniego zabezpieczenia parsera XML przed zewnętrznymi encjami. Atakujący może umieścić w spreparowanym pliku .docx złośliwą deklarację XML External Entity (XXE), która po stronie serwera powoduje odczyt plików lokalnych lub nawiązanie połączeń sieciowych. W konsekwencji możliwe jest wykonanie dowolnego kodu (RCE) na serwerze przetwarzającym plik.
Atakujący może wykonać dowolny kod na podatnym serwerze, co prowadzi do pełnego naruszenia poufności, integralności i dostępności systemu. Możliwe jest także odczytanie plików lokalnych serwera (np. konfiguracyjnych, z hasłami) oraz dalsza ekspansja w sieci (lateral movement).
Należy zaktualizować bibliotekę opensagres XDocReport do wersji wyższej niż 2.0.3. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie możliwości przesyłania plików .docx wyłącznie do zaufanych użytkowników oraz konfigurację parsera XML z wyłączonym przetwarzaniem zewnętrznych encji (DTD/XXE disabled).
opensagres XDocReport w wersjach od 0.9.2 do 2.0.3 włącznie
Publicznie dostępny jest proof-of-concept opublikowany przez badacza (github.com/AT190510-Cuong/CVE-2025-65482-XXE-) wraz z opisem technicznym na platformie HackMD. Podatność dotyczy aplikacji serwerowych korzystających z tej biblioteki do przetwarzania dokumentów przesyłanych przez użytkowników.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOpensagres Xdocreport
APPOpensagres0.9.2 – 2.0.3