提交 #745486: 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞信息
| 标题 | 浙江兰德纵横网络技术股份有限公司 O2OA v6.1.0 至 v9.0.0 XML实体注入漏洞 |
|---|
| 描述 | 浙江兰德纵横网络技术股份有限公司O2OA开发平台/x_program_center/jaxrs/mpweixin/check处存在XML实体注入,因为O2OA使用的Java解析器限制了内部DTD的实体嵌套,所以使用外部 DTD方式进行漏洞利用,攻击者无需登录创建恶意 DTD 文件通过参数实体嵌套,触发 Java 解析器的报错回显最终导致任意文件读取。 |
|---|
| 来源 | ⚠️ https://github.com/SourByte05/SourByte-Lab/issues/7 |
|---|
| 用户 | sourbyte (UID 94279) |
|---|
| 提交 | 2026-01-23 09時52分 (5 月前) |
|---|
| 管理 | 2026-02-06 08時46分 (14 days later) |
|---|
| 状态 | 已接受 |
|---|
| VulDB条目 | 344640 [O2OA 直到 9.0.0 HTTP POST Request check XML External Entity] |
|---|
| 积分 | 20 |
|---|