| عنوان | 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞 |
|---|
| الوصف | 浙江兰德纵横网络技术股份有限公司O2OA开发平台/x_program_center/jaxrs/mpweixin/check处存在XML实体注入,因为O2OA使用的Java解析器限制了内部DTD的实体嵌套,所以使用外部 DTD方式进行漏洞利用,攻击者无需登录创建恶意 DTD 文件通过参数实体嵌套,触发 Java 解析器的报错回显最终导致任意文件读取。 |
|---|
| المصدر | ⚠️ https://github.com/SourByte05/SourByte-Lab/issues/7 |
|---|
| المستخدم | sourbyte (UID 94279) |
|---|
| ارسال | 23/01/2026 09:52 AM (5 أشهر منذ) |
|---|
| الاعتدال | 06/02/2026 08:46 AM (14 days later) |
|---|
| الحالة | تمت الموافقة |
|---|
| إدخال VulDB | 344640 [O2OA حتى 9.0.0 HTTP POST Request check XML External Entity] |
|---|
| النقاط | 20 |
|---|