返回列表

金和 OA EpassValidate.aspx XXE 漏洞

XML External Entity Injection (XXE)2026-02-04

影响软件

金和 OA

CWE

CWE-611

关联产品

金和OA金和 OA

漏洞描述

## 漏洞概述 金和 OA 系统 EpassValidate.aspx 接口存在 XXE 漏洞,源于 XML 解析器未禁用外部实体。 ## 影响范围 受影响的金和 OA 版本中,EpassValidate.aspx 处理逻辑未对 XML 输入进行严格校验。 ## 利用条件 攻击者需能访问该接口(通常需特定权限或路径暴露),并构造包含外部实体的 XML Payload。 ## 修复建议 1. 在 XML 解析器中禁用 DOCTYPE 声明。 2. 过滤或限制外部实体引用。 3. 升级至最新补丁版本。 ## 参考链接 - https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20EpassValidate.aspx%20XXE%E6%BC%8F%E6%B4%9E

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。