返回列表

金和 OA ExamineNodSingletonXml.aspx XML 注入漏洞

PoC
XML External Entity Injection (XXE)2025-10-28

影响软件

金和 OA

CWE

CWE-611

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA 系统 ExamineNodSingletonXml.aspx 接口存在 XML 外部实体注入(XXE)漏洞。 ### 影响范围 金和 OA 系列软件,具体版本未明确指定。 ### 利用条件 攻击者需能访问目标服务器该接口路径,并构造包含恶意 DTD 定义的 POST 请求。 ### 修复建议 1. 在 XML 解析器中禁用外部实体(External Entities)和 DTD 引用。 2. 对输入数据进行白名单验证。 3. 限制网络权限,防止内部文件读取或远程连接。 ### 参考链接 https://rss.biu.life/ti/%E9%87%91%E5%92COA%20ExamineNodSingletonXml.aspx%20%E5%AD%98%E5%9C%A8XML%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E

PoC / 利用代码

Publicly available PoC from source link.

登录后可查看 PoC 内容

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。