SysAid SysAid On-Prem 未授权 XML外部实体注入(XXE)漏洞

上汽集团网络安全应急响应中心 2025-05-20 15:55

漏洞情报

SysAid SysAid On-Prem 未授权 XML外部实体注入(XXE)漏洞

【 漏洞编号 】

CVE-2025-2776,CNNVD-202505-991

【 情报等级 】

高危

【 漏洞描述 】

360漏洞云监测到SysAid发布安全公告，公开披露了一个XML外部实体注入(XXE)漏洞。该漏洞是由于Server URL处理功能中存在未经验证的XML外部实体，可导致攻击者实现对管理员账户接管和文件读取。

【 影响产品 】

SysAid On-Prem,sysaid on premises,SysAid On-Premise<=23.3.40

【 解决方案与修复建议 】

针对此漏洞，厂商已发布补丁修复漏洞，建议下载相关补丁或联系厂商获取相关支持尽快更新至安全版本。

SysAid On-Prem > 23.3.40

下载链接：

https://documentation.sysaid.com/docs/24460-b68

安装前，请确保备份所有关键数据，并按照官方指南进行操作。安装后，进行全面测试以验证漏洞已被彻底修复，并确保系统其他功能正常运行。

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。