用友NC /portal/pt/portalcombo/importCombo XML 外部实体注入漏洞

日期: 2025-12-05 | 影响软件: 用友NC | POC: 否

漏洞描述

用友NC系统的 /portal/pt/portalcombo/importCombo 接口存在XML外部实体注入(XXE)漏洞。该接口在处理文件上传请求时,未对上传的XML文件进行严格的安全校验,允许攻击者注入恶意XML代码并引用外部实体。攻击者可构造包含DNSlog地址的恶意XML payload,诱导服务器解析并访问指定DNSlog服务器,通过DNSlog记录验证漏洞存在。该漏洞可能导致服务器本地敏感文件读取、内部网络探测、敏感信息泄露等严重安全风险。

PoC代码

暂无

相关漏洞推荐