Journyx 漏洞列表

Journyx是一个项目和工资单的员工时间跟踪软件，可以轻松且高效地收集员工时间表和费用数据。 Journyx 的soap_cgi.pyc API 处理程序允许 SOAP 请求的 XML 主体包含对外部实体的引用。这允许未经身份验证的攻击者读取本地文件、执行服务器端请求伪造。

Attackers can craft a malicious link that once clicked will execute arbitrary JavaScript in the context of the Journyx web application.

The "soap_cgi.pyc" API handler allows the XML body of SOAP requests to contain references to external entities. This allows an unauthenticated attacker to read local files, perform server-side request forgery, and overwhelm the web server resources.

Journyx项目管理软件存在XML外部实体注入漏洞，该漏洞是由于soap_cgi.pyc接口对用户的请求验证不当导致的。

Journyx是Journyx公司的一款基于云的时间跟踪软件。 Journyx 11.5.4版本存在代码问题漏洞，该漏洞源于允许SOAP请求的XML主体包含对外部实体的引用，未经身份验证的攻击者可以读取本地文件、执行服务器端请求伪造并压垮Web服务器资源。

Journyx成立于1996年，提供自托管项目管理解决方案ProjectXecute。主要功能包括资源跟腙、待办事项列表、任务分配以及与MS Project的集成。Journyx项日管理软件soap_cgi.pyc接口存在文件读取漏洞，未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件，获取敏感信息，使系统处于极不安全的状态。

Journyx是一个企业时间管理软件品牌，它提供了一系列的时间管理和费用报销解决方案，旨在帮助企业更好地跟踪和管理员工的工作时间、项目成本以及可报销费用。Journyx存在未经身份验证的XML外部实体注入,未授权的攻击者可利用此漏洞读取系统内部配置文件，造成信息泄露。