漏洞描述 时空智友企业信息管理系统是一款企业信息管理软件,旨在帮助企业实现流程化管控和互联网化构建。系统的 /formservice 接口存在 XML 外部实体注入(XXE)漏洞,攻击者可以通过构造恶意的 XML 请求利用该漏洞,可能导致敏感信息泄露或进一步攻击。
相关漏洞推荐 POC shikongzhiyou-login-fileread: 时空智友企业信息管理系统 任意文件读取漏洞 时空智友ERP /formservice updater.getStudioFile 文件读取漏洞 时空智友企业流程化管控系统 /formservice updater.uploadStudioFile XXE漏洞 时空智友企业流程化管控系统 /formservice updater.uploadStudioFile 任意文件上传漏洞 时空智友企业流程化管控系统 /formservice 任意文件上传漏洞