漏洞描述
时空智友ERP的/formservice/wf接口存在XML外部实体注入(XXE)漏洞,该接口接收XML格式的请求数据但未对XML实体进行过滤和限制。攻击者可构造包含恶意外部实体的XML数据发送至该接口,触发XXE漏洞,可导致服务器发起指定的网络请求(如DNS查询),若服务器配置不当,还可能读取服务器本地文件、执行恶意代码等,造成敏感信息泄露、服务器受控等严重风险。
时空智友ERP /formservice/wf XML 外部实体注入漏洞
PoC代码
暂无暂无