（CVE-2020-11991）Apache_Cocoon_XML_外部实体注入漏洞

# （CVE-2020-11991）Apache Cocoon XML 外部实体注入漏洞

============

一、漏洞简介
————

Apache Cocoon 是一个基于 Spring
框架的围绕分离理念建立的构架，在这种框架下的所有处理都被预先定义好的处理组件线性连接起来，能够将输入和产生的输出按照流水线顺序处理。用户群：Apache
Lenya、Daisy CMS、Hippo CMS、Mindquarry等等，Apache Cocoon
通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。CVE-2020-11991
与 StreamGenerator 有关，在使用 StreamGenerator 时，代码将解析用户提供的
xml。攻击者可以使用包括外部系统实体在内的特制 xml
来访问服务器系统上的任何文件。

二、漏洞影响
————

Apache Cocoon \<= 2.1.12 三、复现过程 ------------ 以下是apache社区官方提供利用方式：
]>

John
&ent;

与普通XXE并无差别，向`/v2/api/product/manger/getInfo`位置POST构造好的xml数据即可