제출 #745486: 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞
| 제목 | 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞 |
|---|---|
| 설명 | 浙江兰德纵横网络技术股份有限公司O2OA开发平台/x_program_center/jaxrs/mpweixin/check处存在XML实体注入,因为O2OA使用的Java解析器限制了内部DTD的实体嵌套,所以使用外部 DTD方式进行漏洞利用,攻击者无需登录创建恶意 DTD 文件通过参数实体嵌套,触发 Java 解析器的报错回显最终导致任意文件读取。 |
| 원천 | ⚠️ https:/ |
| 사용자 | sourbyte (UID 94279) |
| 제출 | 2026. 01. 23. AM 09:52 (5 개월 ago) |
| 모더레이션 | 2026. 02. 06. AM 08:46 (14 days later) |
| 상태 | 수락 |
| VulDB 항목 | 344640 [O2OA 까지 9.0.0 HTTP POST Request check XML External Entity] |
| 포인트들 | 20 |