漏洞描述
用友U8Cloud的NCPortalServlet存在XXE漏洞,攻击者可以通过构造恶意的XML数据,利用外部实体注入(XXE)技术读取服务器上的敏感文件或执行其他未授权操作,可能导致敏感信息泄露。
用友U8Cloud /servlet/~uap/nc.merp.bs.maportal.NCPortalServlet XML 外部实体注入漏洞
PoC代码
暂无相关漏洞推荐
-
用友U8Cloud ExportUfoFormatAction SQL注入 无POC
2025-09-17 | 用友U8Cloud用友U8 Cloud系统ExportUfoFormatAction 方法存在SQL注入漏洞,攻击者可获取数据库敏感信息 -
用友U8Cloud getReportIdsByTaskId sql注入 无POC
2025-05-16 | 用友U8+U8cloud系统getReportIdsByTaskId方法存在SQL注入漏洞,未经权限校验调用该方法的服务就会存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信... -
用友U8Cloud pub.sql.query SQL注入漏洞 无POC
2025-01-03 | 用友U8+SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而绕过应用程序的安全措施,直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下,使得... -
用友U8Cloud /servlet/~uap/nc.bs.sm.login2.RegisterServlet SQL 注入漏洞 无POC
2024-12-06 | U8Cloud用友U8 Cloud 是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。用友U8Cloud nc.bs.sm.login2.RegisterServlet接口处存... -
LemonLDAP::NG 操作系统命令注入漏洞 无POC
2025-09-20 00:03:21 | LemonLDAP::NGLemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...