(1day)某友多个接口存在xxe漏洞(大量存在)
2023-12-25 10:50:21 Author: 藏剑安全(查看原文) 阅读量:16 收藏


阅读须知

亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!

01

漏洞描述

    某友是一家专业的企业软件服务商,提供全面的企业管理软件和解决方案,包括财务、人力资源、供应链、生产制造等多个领域。某友系统作为其核心产品之一,是一款集成度高、功能全面的企业管理软件,可帮助企业实现全面的业务管理和智能化决策,提升企业运营效率、降低成本、增强竞争力。某友系统支持多种操作模式,包括Web端、手机APP、PC客户端等,可以满足不同用户的需求,并具备灵活的定制和扩展能力。作为国内领先的企业管理软件提供商之一,某友已经成功服务了众多知名企业和政府机构,是企业数字化转型的首选之一。

02

资产测绘

Fofa语法:body="/Client/Uclient/UClient.exe"||body="ufida.ico"||body="nccloud"||body="/api/uclient/public/"

03

漏洞复现

POC-1

POC-2

04

修复建议

临时缓解方案:
  1. 过滤用户输入:在接受 XML 数据输入的地方,对用户提交的 XML 进行严格的输入验证和过滤,去除或转义潜在的恶意实体。

  2. 禁用外部实体:在 XML 解析器中禁用外部实体的加载,例如在 Java 中可以通过设置解析器的特性来禁用外部实体加载。

  3. 使用最小化的解析器:选择使用那些实现了安全防护机制的 XML 解析器,这些解析器通常会默认禁用外部实体加载。

升级修复方案:

官方已发布安全更新,建议访问官网联系售后升级补丁

信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...


内推|长亭科技2024届秋招开启,附内推码~

你能拿她学校的shell,但永远拿不了她的shell

渗透实战|记一次简单的Docker逃逸+反编译jar接管云主机

渗透实战|NPS反制之绕过登陆验证

渗透实战|记一次曲折的EDU通杀漏洞挖掘

渗透实战|记一次RCE+heapdump信息泄露引发的血案

免责声明
由于传播、利用本公众号藏剑安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号藏剑安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MDA5NzUzNA==&mid=2247485901&idx=1&sn=49efe24db7babcd7000feb515d039351&chksm=ce11ac52c3f20b6bc3ee07e54cf09e993abd53022ce6d262b2c0ccb264e86b031c13ad314d6c&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh