金和 OA /c6/JHSoft.Web.Appraise/DealXml.aspx XML 外部实体注入漏洞
XML外部实体注入2025-07-23
影响软件
金和 OA (Jinhe OA)
CWE
CWE-611: XML External Entity (XXE) Injection
CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (7.5)
漏洞描述
**漏洞概述**:金和 OA 协同管理平台在处理特定 XML 请求时未正确过滤外部实体,导致 XXE 漏洞。 **影响范围**:主要涉及接口 /c6/JHSoft.Web.Appraise/DealXml.aspx。 **利用条件**:攻击者需能向该接口发送 HTTP POST 请求并控制 XML 内容(Content-Type: application/xml)。 **修复建议**:在 XML 解析器中禁用外部实体(DOCTYPE),或增加输入验证白名单,限制可引用的实体类型。 **参考链接**:[原始报告](https://rss.biu.life/ti/%E9%87%91%E5%92COA%20/c6/JHSoft.Web.Appraise/DealXml.aspx/%20XML%20%E5%A4%96%E9%83%A8%E5%AE%9E%E4%BD%93%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E)
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。