| Title | 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞 |
|---|
| Description | 浙江兰德纵横网络技术股份有限公司O2OA开发平台/x_program_center/jaxrs/mpweixin/check处存在XML实体注入,因为O2OA使用的Java解析器限制了内部DTD的实体嵌套,所以使用外部 DTD方式进行漏洞利用,攻击者无需登录创建恶意 DTD 文件通过参数实体嵌套,触发 Java 解析器的报错回显最终导致任意文件读取。 |
|---|
| Source | ⚠️ https://github.com/SourByte05/SourByte-Lab/issues/7 |
|---|
| User | sourbyte (UID 94279) |
|---|
| Submission | 01/23/2026 09:52 (5 months ago) |
|---|
| Moderation | 02/06/2026 08:46 (14 days later) |
|---|
| Status | Accepted |
|---|
| VulDB entry | 344640 [O2OA up to 9.0.0 HTTP POST Request check xml external entity reference] |
|---|
| Points | 20 |
|---|