漏洞說明:
金和網絡是專業(yè)信息化服務商,為城市監(jiān)管部門提供了互聯網+監(jiān)管解決方案,為企事業(yè)單位提供組織協(xié)同OA系統(tǒng)開發(fā)平臺,電子政務一體化平臺,智慧電商平臺等服務�����。金和OA C6 Jhsoft.Web.dailytaskmanage/XmlHttp.aspx 接口處存在XXE漏洞����,未授權的攻擊者可以通過此漏洞讀取服務器上敏感文件或探測內網服務信息��,進一步利用可導致服務器失陷
漏洞類型:
XXE和數據注入
漏洞特征:
滲透過程:
通過漏洞特征在FOFA找到目標
通過POC進行XXE注入���,DNSLOG成功收到請求
通過POC進行時間盲注��,回顯時間>5
臨時修復建議:
1.暫時攔截對 Jhsoft.Web.dailytaskmanage/XmlHttp.aspx 接口的訪問請求�����,尤其是訪問內容包含數據庫操作執(zhí)行語句的請求���;
2.限制訪問來源地址,如非必要����,不要將系統(tǒng)開放在互聯網上����。
修復建議:
及時更新到最新版本
?
閱讀原文:https://mp.weixin.qq.com/s/h6ET4ucfn-Tgmxp8gQseyA
該文章在 2025/9/12 11:18:37 編輯過
400 186 1886
