金和OA XMLHttp.aspx存在XXE漏洞

01

漏洞介紹

    金和OA C6 XMLHttp.aspx 接口處存在XXE漏洞，它可以允許攻擊者利用 XML 解析器的漏洞來(lái)執(zhí)行任意文件讀取、遠(yuǎn)程文件包含、端口掃描等攻擊，從而導(dǎo)致敏感信息泄露、拒絕服務(wù)，甚至遠(yuǎn)程代碼執(zhí)行等嚴(yán)重后果

02

影響版本

金和OA C6

03

測(cè)繪語(yǔ)法

Hunter測(cè)繪語(yǔ)句:

web.body="JHSoft.Web.AddMenu"