| Titel | 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞 |
|---|
| Beschreibung | 浙江兰德纵横网络技术股份有限公司O2OA开发平台/x_program_center/jaxrs/mpweixin/check处存在XML实体注入,因为O2OA使用的Java解析器限制了内部DTD的实体嵌套,所以使用外部 DTD方式进行漏洞利用,攻击者无需登录创建恶意 DTD 文件通过参数实体嵌套,触发 Java 解析器的报错回显最终导致任意文件读取。 |
|---|
| Quelle | ⚠️ https://github.com/SourByte05/SourByte-Lab/issues/7 |
|---|
| Benutzer | sourbyte (UID 94279) |
|---|
| Einreichung | 23.01.2026 09:52 (vor 5 Monaten) |
|---|
| Moderieren | 06.02.2026 08:46 (14 days later) |
|---|
| Status | Akzeptiert |
|---|
| VulDB Eintrag | 344640 [O2OA bis 9.0.0 HTTP POST Request check XML External Entity] |
|---|
| Punkte | 20 |
|---|