某友是一家专业的企业软件服务商,提供全面的企业管理软件和解决方案,包括财务、人力资源、供应链、生产制造等多个领域。某友系统作为其核心产品之一,是一款集成度高、功能全面的企业管理软件,可帮助企业实现全面的业务管理和智能化决策,提升企业运营效率、降低成本、增强竞争力。某友系统支持多种操作模式,包括Web端、手机APP、PC客户端等,可以满足不同用户的需求,并具备灵活的定制和扩展能力。作为国内领先的企业管理软件提供商之一,某友已经成功服务了众多知名企业和政府机构,是企业数字化转型的首选之一。
Fofa语法:body="/Client/Uclient/UClient.exe"||body="ufida.ico"||body="nccloud"||body="/api/uclient/public/"
- 过滤用户输入:在接受 XML 数据输入的地方,对用户提交的 XML 进行严格的输入验证和过滤,去除或转义潜在的恶意实体。
- 禁用外部实体:在 XML 解析器中禁用外部实体的加载,例如在 Java 中可以通过设置解析器的特性来禁用外部实体加载。
- 使用最小化的解析器:选择使用那些实现了安全防护机制的 XML 解析器,这些解析器通常会默认禁用外部实体加载。
升级修复方案:
官方已发布安全更新,建议访问官网联系售后升级补丁
原文始发于微信公众号(WK安全):(1day)某友多个接口存在xxe漏洞(大量存在)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论