漏洞描述
友加畅捷管理系统存在一个XML外部实体注入(XXE)漏洞,攻击者可以通过构造恶意的XML请求读取服务器上的敏感文件或发起外部请求,可能导致敏感信息泄露或进一步的攻击。
友加畅捷管理系统 /fw.asmx XML 外部实体注入漏洞
PoC代码
暂无相关漏洞推荐
- 友加畅捷管理系统 Sysconfig/GetZTList 未授权访问致信息泄露漏洞
- 友加畅捷管理系统 RepFile.ashx 存在任意文件上传漏洞
- 友加畅捷管理系统 Report/DataHandler.ashx XML 外部实体注入漏洞
- 友加畅捷管理系统 Service/ms_DBLis 信息泄露漏洞
- 友加畅捷管理系统 ms_DBList 信息泄露漏洞
- 友加畅捷管理系统 DataHandler.ashx 存在XML实体注入漏洞
- 友加畅捷管理系统 GetZTList 信息泄露漏洞
- 友加畅捷管理系统 /Controllers/ajax/Attachment.ashx 文件读取漏洞
- 友加畅捷管理系统 /Controllers/ajax/downloadfile.ashx 文件读取漏洞
- 友加畅捷管理系统 /Sysconfig/GetZTList 未授权访问漏洞
- Fortinet FortiWeb /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi 权限绕过漏洞(CVE-2025-64446/CVE-2025-58034)
- 友加畅捷管理系统 downloadfile.ashx 任意文件读取漏洞
- Fortinet FortiWeb /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi 权限绕过漏洞(CVE-2025-64446)