国内80sec安全团队近期发布了一个xml解析的漏洞警告,尽管该漏洞类型较为古老,但是目前还是有很多的应用受影响,问题出在xml解析的时候外部实体带来的问题,通过构造特殊的xml格式文件,如果应用尝试解析就会导致问题,在很多的场景中譬如rss订阅和xml文件解析都会存在问题。在行业专家看来,网上报警平台的确有着很大的发展潜力,这更是让很多投资者趋势若骛。
由于该漏洞与xml解析底层的细节有关,所以对于php来讲,一些dom和simplexml函数会受影响,但是使用expat的xml_parse函数则不受影响,80sec称已经在多个互联网的应用中发现了问题,并且问题将通过wooyun漏洞平台提交给厂商
80sec随后证明所有版本phpmyadmin也受此问题影响,在普通权限登录进phpmyadmin之后即可利用此漏洞读取服务器上的文件,目前该问题已经反馈给phpmyadmin官方团队,并且已经确认,问题证明截图如下: