金和OA-C6 ApproveRemindSetExec.aspx XXE漏洞复现(CNVD-2024-40568)

已于 2024-11-05 14:04:06 修改
阅读量905 收藏 3
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 安全
于 2024-10-30 17:27:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/143368728

0x01 产品描述:

        金和C6协同管理平台是以"精确管理思想"为灵魂,围绕“企业协同四层次理论”模型,并紧紧抓住现代企业管理的六个核心要素:文化 Culture、 沟通Communication 、 协作Collaboration 、创新 Creation、 控制 Control、中心 Center,而构建了结构化的、灵活集成的、动态响应的、面向企业运营管理的智慧协同应用管理平台。
0x02 漏洞描述:

        金和OA-C6 ApproveRemindSetExec.aspx接口存在XXE漏洞,未经授权的攻击者可利用该漏洞实现任意文件读取或ssrf。
0x03 搜索语句:

Fofa:body="c6/Jhsoft

了解本专栏 订阅专栏 解锁全文 超级会员免费看
金和OA C6 UploadFileEditor.aspx SQL注入漏洞复现
0xSec
08-16 369
金和OA C6 UploadFileEditor.aspx接口存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
金和OA C6 XmlDeal.aspx XXE漏洞复现
0xSec
03-31 659
金和OA C6 XmlDeal.aspx 接口存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。
漏洞复现金和OA C6 ApproveRemindSetExec.aspx XXE漏洞CNVD-2024-40568
m0_71944965的博客
12-05 393
金和 ApproveRemindSetExec.aspx 接口存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。
漏洞复现金和OA C6 FileDownLoad.aspx 任意文件读取漏洞复现
m0_71944965的博客
12-31 192
金和OA C6 FileDownLoad.aspx接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
金和OA_XmlDeal接口存在XXE漏洞
m0_46604997的博客
05-17 498
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务.二、漏洞描述金和OA C6系统XmlDeal接口存在XXE漏洞,应用程序在解析XML数据时,没有正确验证或限制实体引用,攻击者就可以通过构造恶意的XML输入,将外部实体引用进来,从而执行恶意操作。
金和OA C6 ApproveRemindSetExec.aspx XXE漏洞复现(CNVD-2024-40568)
0xSec
10-24 519
金和OAApproveRemindSetExec.aspx 接口存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。
漏洞复现金和OA XmlDeal.aspx XXE漏洞
qq_67810151的博客
04-01 654
金和OA-C6-XmlDeal.aspx接口存在XML实体注入漏洞,未授权的攻击者可通过该漏洞获取服务器敏感数据。
漏洞复现】​金和OA存在任意文件读取漏洞
失心少年
11-18 433
金和OA协同办公管理系统C6软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。该系统存在任意文件读漏洞。本文所提供的工具仅用于学习,禁止用于其他!
OA系统漏洞记录
Aquarius_ego的博客
05-14 5185
OA系统介绍及相关漏洞(不断更新哦~)
漏洞复现金和C6协同管理平台 未授权访问_08
fushuang333的博客
01-04 915
漏洞复现金和C6协同管理平台未授权访问
渗透笔记之web漏洞概述
晚风不及你
03-13 3068
文章目录1.敏感信息泄露风险等级敏感信息泄露描述敏感信息泄露的危害敏感信息泄露修复方式2.SQL注入风险等级SQL注入漏洞描述SQL注入漏洞危害SQL注入分类SQL注入工具SQL注入相关书籍SQL注入漏洞修复方式3.XSS跨站脚本风险等级XSS跨站脚本描述XSS跨站脚本攻击漏洞危害XSS跨站脚本攻击分类XSS跨站脚本的相关书籍XSS跨站脚本检测工具XSS跨站脚本修复方式4.CSRF伪造客户端请求风...
XXE外部实体注入
人若有志,就不会在半坡停止。
11-07 683
DTD全称是The document typedefinition,即是文档类型定义,可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于XML 文档中,也可作为一个外部引用。XXE(xml external entity injection)即xml外部实体注入漏洞XXE是针对应用程序解析XML输入类型的攻击。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
xxe进阶1.0
mingyqf的博客
04-27 234
前文:39:WEB漏洞-XXE&XML之利用检测绕过全解 xxe进阶 XML XML设计的宗旨是传输数据,而非显示数据 XXE=XML外部实体注入、XML=可扩展标记语言 Xml文件声明 <?xml version="1.0" encoding="UTF-8" standalone="yes"?> DTD为XML的文档类型定义 引入外部DTD <!DOCTYPE 根元素 SYSTEM "filename"> 参数实体+外部实体 <?xml version="1.0" e
.NET下如何预防XXE注入攻击
weixin_34000916的博客
12-29 395
接下来关于.NET中XXE注入的内容来自Dean Fleming单元测试的Web站点:https://github.com/deanf1/dotnet-security-unit-tests。该站点覆盖了目前.NET下支持的所有XML解析器,且测试用例均展示了哪些情况下它们对于XXE注入而言是安全的,哪些情况下又是不安全的。这些内容更早之前是基于James Jardine这篇关于.NET XXE...
【翻译】在.NET下如何预防XXE注入攻击
sky 胡萝卜星星
07-06 2940
接下来关于.NET中XXE注入的内容来自Dean Fleming单元测试的Web站点:https://github.com/deanf1/dotnet-security-unit-tests。该站点覆盖了目前.NET下支持的所有XML解析器,且测试用例均展示了哪些情况下它们对于XXE注入而言是安全的,哪些情况下又是不安全的。这些内容更早之前是基于James Jardine这篇关于.NET XXE...
星图云开发者平台赋能商储油安全管控数字化转型
DevMate的博客
08-05 514
某商业储备油分公司是其集团公司国家原油商业储备的生产经营主体,肩负着15座跨省市油库的安全管理重任。在传统管理模式下,总部对分散库区的监管面临严峻挑战:由于地理位置分散,储罐液位波动、设备异常运行等关键状态无法实时获取,往往依赖人工逐级上报导致决策滞后;各库区独立建设的安防系统、设备监测平台数据格式互不兼容,标准不统一,形成数据协同壁垒;当突发泄漏或火灾险情时,应急资源调度依赖电话协调与纸质预案,响应效率难以满足快速处置要求。
Goby 漏洞安全通告| NestJS DevTools /inspector/graph/interact 命令执行漏洞(CVE-2025-54782)
最新发布
m0_46699477的博客
08-05 251
其 /inspector/graph/interact 接口存在远程代码执行漏洞(CVE-2025-54782)。攻击者可以通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。该漏洞允许攻击者通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。
泛微oa e-cology xxe 漏洞
08-17
泛微OA是一种常见的企业办公自动化系统,而XXE(XML外部实体注入)漏洞是指攻击者通过注入恶意的外部实体来读取或利用系统中的敏感数据。 泛微OAXXE漏洞是由于系统对外部XML实体的处理不当所导致的。攻击者可以通过构造恶意的XML实体并将其发送给系统,然后利用系统对外部实体的解析不当来读取系统中的文件,包括敏感的配置文件、数据库信息。攻击者还可以通过XXE漏洞发起钓鱼攻击或者是向系统发送恶意的请求来进一步导致系统安全漏洞。 为了防范泛微OAXXE漏洞,建议以下几点: 1. 进行安全审计:对泛微OA系统进行定期的安全审计,通过检测系统中的漏洞和弱点,及时修复存在XXE漏洞。 2. 模板限制:在处理外部XML实体时,应限制或阻止对外部实体的解析,避免可能的XXE攻击。可以通过设置合适的解析选项,限制对外部实体的访问权限。 3. 输入验证与过滤:对于用户输入的数据,应进行合理的验证和过滤,确保输入的内容符合预期格式,避免恶意的外部实体注入。 4. 更新补丁:定期保持泛微OA系统的更新与升级,及时安装官方发布的补丁和修复漏洞的版本。 5. 安全意识培训:加强企业员工的安全意识培训,提高他们对XXE漏洞及其他安全威胁的认识,避免因无意中点击恶意链接或下载恶意附件而导致漏洞的利用。 通过以上措施,可以有效地减少泛微OA中的XXE漏洞,提升系统安全性。及早识别并修复漏洞,有助于保护企业的机密信息以及防止潜在的安全威胁发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iSee857

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值