漏洞描述
金和网络的金和OA系统存在XML实体注入漏洞。攻击者可以通过向{{{backquote}}}/jc6/servlet/PathFile?GetUrl{{{backquote}}}接口发送特制的XML数据,利用该漏洞读取服务器上的任意文件内容,从而导致敏感信息泄露。
金和JC6 /jc6/servlet/PathFile?GetUrl 文件读取漏洞
PoC代码
暂无相关漏洞推荐
- 金和OA SubjectHandler.ashx SQL注入漏洞
- 金和OA AccountSet.aspx SQL注入漏洞
- 金和OA BudgetDecomposeEdit.aspx SQL注入漏洞
- 金和OA GetSubjectTreeData.aspx SQL注入漏洞
- 金和OA AjaxForSetDecompose.ashx SQL注入漏洞
- 金和OA CompanyBudgetCollect.aspx SQL注入漏洞
- POC 金和OA CompanyBudgetCollectEdit.aspx SQL注入漏洞
- 金和OA AjaxForCenterBudgetDecompose.ashx SQL注入漏洞
- POC 金和OA ProductImport.aspx XXE漏洞
- 金和OA ProjectImport.aspx XXE漏洞
- 金和OA ProjectPlanReportDetail.aspx 存在SQL注入漏洞
- 金和OA CostReimbursementHandler.ashx 存在SQL注入
- 金和OA CompanyBudgetCollectEdit.aspx 存在SQL注入漏洞