漏洞描述
Bjskzy 智友 ERP 11.0 及之前版本中,组件 com.artery.richclient.RichClientService 的 RichClientService.class 文件内 initRCForm 函数存在 XML 外部实体注入(XXE)漏洞。由于在处理 XML 数据时未正确禁用外部实体解析,攻击者可通过构造恶意 XML 请求远程触发外部实体引用,从而造成敏感信息泄露。该漏洞可被远程利用,且相关利用代码已公开。厂商已被提前告知该问题,但截至目前未作出任何响应。
时空智友ERP /formservice richclient.initRCForm XML 外部实体注入漏洞(CVE-2026-1218)
PoC代码
暂无相关漏洞推荐
- 时空智友ERP /formservice/wf XML 外部实体注入漏洞
- POC shikongzhiyou-erp-uploadstudiofile-fileupload: 时空智友ERP系统 uploadStudioFile 任意文件上传漏洞
- POC shikongzhiyou-richclient.openform-xxe: 时空智友企业流程化管控系统 XML 外部实体注入漏洞
- 时空智友ERP richclient.openForm XXE漏洞
- 时空智友企业流程化管控系统 richclient.openForm XML外部实体注入漏洞
- 时空智友企业信息管理系统 /formservice XML 外部实体注入漏洞
- 时空智友ERP /formservice updater.getStudioFile 文件读取漏洞
- 时空智友企业流程化管控系统 /formservice updater.uploadStudioFile XXE漏洞
- 时空智友企业流程化管控系统 /formservice updater.uploadStudioFile 任意文件上传漏洞
- 时空智友企业流程化管控系统 /formservice 任意文件上传漏洞