广联达OA ArchiveWebService XXE漏洞

广联达OA系统中的ArchiveWebService接口存在XXE（XML外部实体注入）漏洞。攻击者可以通过发送特制的SOAP请求，在XML数据中注入恶意的外部实体，从而读取系统文件或在受影响的服务器上执行任意代码。该漏洞存在于/GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口，通过注入恶意XML实体，攻击者可以在未经授权的情况下访问敏感信息，严重威胁系统的安全性和数据完整性。

可能导致以下危害：1. 利用XXE进行DOS攻击，使服务不可用；2. 读取本地任意敏感文件，如配置文件、数据库信息等；3. 利用相关协议探测内网主机IP、端口等信息，为进一步攻击做准备；4. 在特定条件下，可能导致恶意文件上传；5. 如果服务器安装了expect扩展，攻击者可能利用XXE执行任意命令。

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对/GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本