发布日期：2025-03-10
更新日期：2025-05-19

受影响系统：

LocalS3 LocalS3 < 1.21

描述：

---

CVE(CAN) ID: CVE-2025-27136

LocalS3是Luo个人开发者的一个基于Netty的Amazon S3服务实现。
LocalS3 1.21之前版本存在XML外部实体引用漏洞，该漏洞源于在XML解析器解析外部实体时程序未对其进行正确验证或限制，攻击者可利用该漏洞引用内部URL的外部实体并使服务器在解析XML时尝试获取该URL，从而通过向特定URL发送HTTP请求泄漏敏感信息。

<**>

建议：

---

厂商补丁：

LocalS3
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/Robothy/local-s3/commit/d6ed756ceb30c1eb9d4263321ac683d734f8836f

浏览次数：100
严重程度：0（网友投票）