返回列表

金和 OA ExcerptAppraiseSet.aspx XXE 漏洞

PoC
XML External Entity Injection (XXE)2025-10-27

影响软件

金和 OA

CWE

CWE-614

受影响版本

金和 OA C6 系列

关联产品

金和OA金和 OA

漏洞描述

### 漏洞概述 金和 OA ExcerptAppraiseSet.aspx 接口存在 XXE 漏洞,允许攻击者通过 XML 实体引用读取服务器本地文件。 ### 影响范围 金和 OA C6 系列版本(根据请求路径推断)。 ### 利用条件 攻击者需向 /c6/Jhsoft.Web.Appraise/ExcerptAppraiseSet.aspx 发送 POST 请求,Content-Type 为 application/xml。 ### 修复建议 1. 升级金和 OA 至最新版本。 2. 在 XML 解析器中禁用 DOCTYPE 声明。 3. 限制文件读取权限。 ### 参考链接 详见来源链接列表。

补充来源

https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20ExcerptAppraiseSet.aspx%20XXE%E6%BC%8F%E6%B4%9E

PoC / 利用代码

Content extracted from source link.

登录后可查看 PoC 内容

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。