金和 OA /c6/Jhsoft.Web.Appraise/ExcerptAppraiseSet.aspx 存在 XML 外部实体注入漏洞

### 漏洞概述 金和 OA C6 系列软件中的 `ExcerptAppraiseSet.aspx` 页面存在 XML 外部实体注入（XXE）漏洞。该接口在处理用户提交的 XML 数据时，未对实体引用进行有效过滤。 ### 影响范围 - **受影响组件**: Jhsoft.Web.Appraise 模块 - **涉及路径**: `/c6/Jhsoft.Web.Appraise/ExcerptAppraiseSet.aspx` - **潜在后果**: 本地文件读取、内网探测、远程代码执行（取决于解析器配置） ### 利用条件 1. 攻击者需访问到该特定接口 URL。 2. 通常需要在已登录状态下或具备相应权限的会话中发送请求。 3. 服务端开启了 XML 外部实体解析功能且未禁用 DOCTYPE。 ### 修复建议 1. **升级版本**: 联系厂商获取最新补丁，修复 XXE 漏洞。 2. **配置过滤**: 在 XML 解析器中设置 `XMLConstants.FEATURE_SECURE_PROCESSING` 或禁用外部实体。 3. **权限控制**: 限制该接口的访问来源和权限。 ### 参考链接 - [来源链接](https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20/c6/Jhsoft.Web.Appraise/ExcerptAppraiseSet.aspx%20%E5%AD%98%E5%9C%A8XML%E5%A4%96%E9%83%A8%E5%AE%9E%E4%BD%93%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E)