广联达OA ArchiveWebService XXE漏洞

预览

广联达OA系统中的ArchiveWebService接口存在XXE（XML外部实体注入）漏洞。攻击者可以通过发送特制的SOAP请求，在XML数据中注入恶意的外部实体，从而读取系统文件或在受影响的服务器上执行任意代码。该漏洞存在于/GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口，通过注入恶意XML实体，攻击者可以在未经授权的情况下访问敏感信息，严重威胁系统的安全性和数据完整性。

预览

可能导致以下危害：1. 利用XXE进行DOS攻击，使服务不可用；2. 读取本地任意敏感文件，如配置文件、数据库信息等；3. 利用相关协议探测内网主机IP、端口等信息，为进一步攻击做准备；4. 在特定条件下，可能导致恶意文件上传；5. 如果服务器安装了expect扩展，攻击者可能利用XXE执行任意命令。

预览

1. 厂商已发布补丁修复此漏洞。请尽快联系广联达（https://www.glodon.com/）获取补丁下载并更新系统，确保系统始终处于最新版本，修复已知的安全漏洞。
2. 限制对/GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口的访问，仅允许可信任的IP地址或网络范围访问该接口。可以通过配置防火墙或API网关实现这一限制。
3. 通过配置XML解析器禁用外部实体解析功能，可以防止XXE攻击。在不影响争产业务功能的前提下确保系统中使用的所有XML解析器都配置为安全模式。
4. 使用Web应用防火墙来检测和阻止XXE攻击。WAF可以在检测到恶意请求时自动拦截，保护后端系统免受攻击。