返回列表

金和 OA ImportGuide2Xml.aspx XXE 漏洞

XXE (XML External Entity)2025-10-30

影响软件

金和 OA (Jinhe OA)

CWE

CWE-614

关联产品

金和OA金和 OA (Jinhe OA)

漏洞描述

漏洞概述:金和 OA 系统后台文件 ImportGuide2Xml.aspx 在处理 XML 数据时未充分过滤外部实体,导致 XXE 注入。 影响范围:金和 OA 特定版本(具体版本号需根据实际部署确认)。 利用条件:攻击者需具备访问该 ASPX 接口的权限或网络可达性。 修复建议:禁用 DTD 引用,限制 XML 解析器配置,过滤特殊字符,升级官方补丁。 参考链接:https://rss.biu.life/ti/%E9%87%91%E5%92%8COA%20ImportGuide2Xml.aspx%20XXE%E6%BC%8F%E6%B4%9E

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。