| Título | 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞 |
|---|
| Descrição | 浙江兰德纵横网络技术股份有限公司O2OA开发平台/x_program_center/jaxrs/mpweixin/check处存在XML实体注入,因为O2OA使用的Java解析器限制了内部DTD的实体嵌套,所以使用外部 DTD方式进行漏洞利用,攻击者无需登录创建恶意 DTD 文件通过参数实体嵌套,触发 Java 解析器的报错回显最终导致任意文件读取。 |
|---|
| Fonte | ⚠️ https://github.com/SourByte05/SourByte-Lab/issues/7 |
|---|
| Utilizador | sourbyte (UID 94279) |
|---|
| Submissão | 23/01/2026 09h52 (há 5 meses) |
|---|
| Moderação | 06/02/2026 08h46 (14 days later) |
|---|
| Estado | Aceite |
|---|
| Entrada VulDB | 344640 [O2OA até 9.0.0 HTTP POST Request check XML External Entity] |
|---|
| Pontos | 20 |
|---|