【漏洞对象】Metinfo企业建站系统 【涉及版本】v6.1.0 【漏洞描述】 XXE是XML外部实体注入。当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

目前Metinfo最新版本是6.1.0，官方未修复。 1.使用开发语言提供的禁用外部实体的方法 libxml_disable_entity_loader(true); DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false); Python xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False)) 2.过滤用户提交的XML数据 过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC。