返回列表

金和 OA AddressImportList.aspx XML 外部实体注入漏洞

PoC
XXE Injection2025-10-22

影响软件

金和 OA

CWE

CWE-611

受影响版本

金和 OA C6 (推测)

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA AddressImportList.aspx 接口存在 XML 外部实体(XXE)注入漏洞,允许攻击者通过构造恶意 XML 请求读取服务器敏感文件。 ### 影响范围 金和 OA 系统,特别是 C6 版本下的 addressbook 模块。 ### 利用条件 1. 目标服务器开启 XXE 解析功能。 2. 攻击者可访问 /c6/Jhsoft.Web.addressbook/AddressImportList.aspx 接口。 3. 请求头 Content-Type 为 application/xml。 ### 修复建议 1. 在 XML 解析器中禁用外部实体(DOCTYPE)。 2. 限制 XML 输入来源,进行严格过滤。 ### 参考链接 - https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20AddressImportList.aspx%20%E5%AD%98%E5%9C%A8XML%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E

PoC / 利用代码

公开来源 PoC,尚未在平台侧验证。

登录后可查看 PoC 内容

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。