漏洞描述
WSO2 API Manager是一套由美国WSO2公司开发的API生命周期管理解决方案。WSO2 API Manager 3.1.0及更早版本存在盲XML外部实体注入(XXE)漏洞。攻击者可以通过构造恶意XML输入,在Management Console中触发XXE攻击,查看服务器文件系统中的文件,并与应用程序可访问的任何后端或外部系统交互,从而将敏感数据从受影响的服务器传输到攻击者控制的系统。
WSO2 API Manager /carbon/generic/save_artifact_ajaxprocessor.jsp XML 外部实体注入漏洞(CVE-2020-24589)
PoC代码
暂无相关漏洞推荐
- POC CVE-2020-26836: SAP Solution Manager - Open Redirect
- POC bitrix-log-file-disclosure: Bitrix Site Manager - Log File Disclosure
- POC nexus-repository-anonymous-access: Nexus Repository Manager - Anonymous Access Enabled
- POC CVE-2019-25213: WordPress Advanced Access Manager - Path Traversal
- POC aem-anonymous-write: Adobe Experience Manager (AEM) - Anonymous JCR Node Creation
- 中成科信票务管理系统 /SystemManager/Api/TicketManager.ashx SQL 注入漏洞
- 新视窗新一代物业管理系统 /OfficeManagement/RegisterManager/Report/Training/Report/GetprintData.asmx SQL 注入漏洞
- Oracle Identity Manager /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl 命令执行漏洞(CVE-2025-61757)
- POC CVE-2025-61757: Oracle Identity Manager REST WebServices - Authentication Bypass
- 月子会所ERP /Page/SalerManager/ashx/BindRoomListData.ashx RoomType SQL 注入漏洞
- 中成科信票务管理系统 /SystemManager/OrderManager/OrderManager.ashx 文件读取漏洞
- WordPress Events Manager /wp-admin/admin-ajax.php SQL 注入漏洞(CVE-2025-6970)
- POC 中成科信票务管理系统 OrderManager.ashx 任意文件读取漏洞