漏洞描述
用友NC系统中的 content模块存在 XML 实体注入漏洞,该漏洞允许攻击者通过构造恶意的 XML 输入,利用系统对 XML数据的处理不当,进行恶意代码执行或数据泄露。攻击者可以利用此漏洞向系统发送特制的 XML数据,导致敏感信息被获取或系统功能被未授权访问。此类安全隐患可能对企业的业务流程和数据安全造成严重影响,因此需要及时修复和加强对 XML输入的验证与过滤,以防止潜在的攻击。
用友NC content存在XXE实体注入漏洞
PoC代码
暂无相关漏洞推荐
- 用友NC /portal/pt/oacoSchedulerEvents/uncancelEvent SQL 注入漏洞
- 用友NC /ebvp/register/qrySubPurchaseOrgByParentPk SQL 注入漏洞
- 用友 NC Cloud /ncchr/pm/obj/queryPsnInfo SQL 注入漏洞
- 用友NC /portal/pt/infopathimport/importExcelTemplate pageId 文件上传漏洞
- 用友NC OAUserQryServlet 反序列化漏洞
- 用友NC OAUserAuthenticationServlet 反序列化漏洞
- 用友NC ContactsQueryServiceServlet 反序列化漏洞
- POC 用友NC UserSynchronizationServlet 反序列化漏洞
- 用友NC ContactsFuzzySearchServlet 反序列化漏洞
- POC 用友NC IMsgCenterWebService 命令执行漏洞
- POC 用友nc soapRequest.ajax 命令执行漏洞
- 用友NC存在 PaWfm2/open SQL注入漏洞
- 用友NC系统workflowService接口SQL注入漏洞