返回列表

金和 OA AddressImportList.aspx XXE 漏洞

PoC
XXE (XML External Entity)2025-10-21

影响软件

金和 OA

CWE

CWE-614

CVSS

7.5

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA 系统中的 AddressImportList.aspx 接口在处理 XML 数据时,未有效过滤外部实体引用,导致 XXE(XML External Entity)漏洞。 ### 影响范围 受影响的模块为 AddressBook 相关的地址导入功能,具体路径涉及 /c6/Jhsoft.Web.addressbook/AddressImportList.aspx。 ### 利用条件 攻击者需向该接口发送包含自定义 DOCTYPE 的 XML POST 请求,且服务器未开启实体过滤或 DTD 限制。 ### 修复建议 1. 在解析 XML 时禁用外部实体(External Entities)。 2. 限制 DTD 的加载范围。 3. 对输入数据进行严格的白名单校验。 ### 参考链接 https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20AddressImportList.aspx%20XXE%E6%BC%8F%E6%B4%9E

PoC / 利用代码

公开来源 PoC,尚未在平台侧验证。

登录后可查看 PoC 内容

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。