漏洞描述 金和OA-C6系统的接口ActionDataSet存在XML外部实体注入(XXE)漏洞。攻击者可以通过构造恶意的XML数据包,利用该漏洞读取服务器上的任意文件或发起SSRF攻击,从而获取敏感数据或对内部网络进行进一步的攻击,存在较大的安全隐患。
相关漏洞推荐 金和OA-C6系统接口 /C6/Jhsoft.Web.ask/SignUpload.ashx SQL 注入漏洞 POC CVE-2024-29198: 金和OA-C6系统ActionDataSet接口XXE漏洞