漏洞描述
华天动力协同办公系统的 /OAapp/WebObjects/OAapp.woa/ws/WSTraceCreate 接口存在XML外部实体注入(XXE)漏洞。该接口在处理SOAP格式的XML请求时,未对XML内容进行严格的安全校验,允许攻击者注入恶意XML代码并引用外部实体。攻击者可构造包含DNSlog地址的恶意XML payload,诱导服务器解析并访问指定DNSlog服务器,通过DNSlog记录验证漏洞存在。该漏洞可能导致服务器本地敏感文件读取、内部网络探测、敏感信息泄露等严重安全风险。