漏洞描述
广联达OA系统中的ArchiveWebService接口存在XXE(XML外部实体注入)漏洞。攻击者可以通过发送特制的SOAP请求,在XML数据中注入恶意的外部实体,从而读取系统文件或在受影响的服务器上执行任意代码。该漏洞存在于/GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口,通过注入恶意XML实体,攻击者可以在未经授权的情况下访问敏感信息,严重威胁系统的安全性和数据完整性。
漏洞危害
可能导致以下危害:1. 利用XXE进行DOS攻击,使服务不可用;2. 读取本地任意敏感文件,如配置文件、数据库信息等;3. 利用相关协议探测内网主机IP、端口等信息,为进一步攻击做准备;4. 在特定条件下,可能导致恶意文件上传;5. 如果服务器安装了expect扩展,攻击者可能利用XXE执行任意命令。
修复方法
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2024-07-17
漏洞信息更新
2024-07-23