1.漏洞描述 在8.0.30之前的8.0.*、8.1.22之前的8.1.*和8.2.8之前的8.2.*版本中，各種XML函數(shù)都依賴于libxml全局狀態(tài)來跟蹤配置變量，比如是否加載了外部實(shí)體。除非用戶通過調(diào)用適當(dāng)?shù)暮瘮?shù)顯式地更改此狀態(tài)，否則假定此狀態(tài)不變。然而，由于狀態(tài)是進(jìn)程全局的，其他模塊（如ImageMagick）也可以在同一進(jìn)程中使用此庫，并出于內(nèi)部目的更改該全局狀態(tài)，并使其處于啟用外部實(shí)體加載的狀態(tài)。這可能導(dǎo)致在加載外部實(shí)體的情況下解析外部XML，從而導(dǎo)致PHP可訪問的任何本地文件被泄露。這種易受攻擊的狀態(tài)可能會(huì)在多個(gè)請求的同一進(jìn)程中持續(xù)存在，直到進(jìn)程關(guān)閉。 2.影響產(chǎn)品(系統(tǒng)版本 是否受影響) 中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 不影響 中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V6 不影響 3.漏洞評分( 漏洞編號(hào) 危害程度 CVSS 3.1 評分 漏洞類型) CVE-2023-3823 重要 7.5 其他 漏洞評分向量：CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 4.修復(fù)方案 無需修復(fù)