返回列表

金和 OA AddressImportPub.aspx XML 注入漏洞

XML 注入 (XXE)2025-09-25

影响软件

金和 OA

CWE

CWE-611

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA 系统 AddressImportPub.aspx 接口存在 XML 注入漏洞。 ### 影响范围 攻击者可利用该漏洞发送构造的 XML 数据,触发服务端解析异常或进行出网探测(XXE)。 ### 利用条件 需访问到 AddressImportPub.aspx 接口,通常需特定参数传入且未做严格过滤。 ### 修复建议 对输入的 XML 内容进行严格过滤,禁用外部实体引用(External Entities),限制 DTD 解析。 ### 参考链接 https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20AddressImportPub.aspx%20%E5%AD%98%E5%9C%A8XML%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。