漏洞描述 Journyx是一个项目和工资单的员工时间跟踪软件,可以轻松且高效地收集员工时间表和费用数据。 Journyx 的soap_cgi.pyc API 处理程序允许 SOAP 请求的 XML 主体包含对外部实体的引用。这允许未经身份验证的攻击者读取本地文件、执行服务器端请求伪造。
相关漏洞推荐 POC CVE-2024-6892: Journyx 11.5.4 - Reflected Cross Site Scripting POC CVE-2024-6893: Journyx - XML External Entities Injection (XXE) Journyx 项目管理软件 soap_cgi.pyc XML外部实体注入漏洞 Journyx soap_cgi.pyc 文件读取漏洞 POC Journyx存在未经身份验证的XML外部实体注入