泛微E-Cology ReceiveCCRequestByXml 存在XXE漏洞

漏洞描述

泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。

相关漏洞推荐

ecology-mobile-plugin-checkserver-sqli: 泛微 Ecology OA SQL 注入漏洞 POC

2025-09-01 | 泛微Ecology

泛微 Ecology OA 系统由于对用户传入的数据过滤处理不当，导致存在 SQL 注入漏洞，远程且未经过身份认证的攻击者可利用此漏洞进行 SQL 注入攻击，从而可窃取数据库敏感信息。长亭科技安全研究...
ecology-oa-database-info-leak: 泛微ecology OA 数据库配置信息泄露 POC

2025-09-01 | 泛微ecology OA

泛微ecology OA系统接口存在数据库配置信息泄露漏洞
泛微e-cology 9 /weaver/weaver.email.FileDownloadLocation/login/LoginSSOxjsp/x.FileDownloadLocation SQL 注入漏洞无POC

2024-12-20 | 泛微ecology

泛微协同管理应用平台e-cology是一款企业级协同管理平台，涵盖企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理及数据中心功能。泛微协同...
泛微ecology ImportValidationFieldServlet 前台SQL注入漏洞无POC

2024-09-25 | 泛微ecology

该漏洞存在于泛微e-cology的ImportValidationFieldServlet接口，该接口用于处理导入操作时字段的验证。其处理函数selectfieldData接收用户输入的modeid参...
SourceCodester Pet Grooming Management Software SQL注入漏洞无POC

2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software

SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...

漏洞描述

PoC代码

相关漏洞推荐

ecology-mobile-plugin-checkserver-sqli: 泛微 Ecology OA SQL 注入漏洞 POC

ecology-oa-database-info-leak: 泛微ecology OA 数据库配置信息泄露 POC

泛微e-cology 9 /weaver/weaver.email.FileDownloadLocation/login/LoginSSOxjsp/x.FileDownloadLocation SQL 注入漏洞 无POC

泛微ecology ImportValidationFieldServlet 前台SQL注入漏洞 无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

泛微e-cology 9 /weaver/weaver.email.FileDownloadLocation/login/LoginSSOxjsp/x.FileDownloadLocation SQL 注入漏洞无POC

泛微ecology ImportValidationFieldServlet 前台SQL注入漏洞无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞无POC