金和 OA C6 CheckPwd.aspx XML 外部实体注入漏洞
XML外部实体注入2025-07-24
影响软件
金和 OA
CWE
CWE-614
受影响版本
金和 OA C6 系列版本
漏洞描述
漏洞概述:金和 OA C6 模块中的 JHSoft.Web.WorkFlat.CheckPwd.aspx 接口存在 XML 外部实体注入(XXE)漏洞。 影响范围:攻击者可利用该漏洞读取服务器本地敏感文件,或结合其他服务发起 SSRF 攻击。 利用条件:攻击者需能向 CheckPwd.aspx 发送包含恶意实体定义的 XML 请求。 修复建议:在解析 XML 时禁用 DOCTYPE 声明及外部实体,对输入数据进行严格校验。 参考链接:https://rss.biu.life/ti/%E9%87%91%E5%92COA%20/C6/JHSoft.Web.WorkFlat/CheckPwd.aspx/%20XML%20%E5%A4%96%E9%83%A8%E5%AE%9E%E4%BD%93%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。