发布日期：2026-02-07
更新日期：2026-05-08

受影响系统：

O2OA O2OA <= 9.0.0

描述：

---

CVE(CAN) ID: CVE-2026-2074

O2OA是O2OA开源的一款企业应用开发平台。
O2OA 9.0.0及之前版本存在XML外部实体注入漏洞，该漏洞源于/x_program_center/jaxrs/mpweixin/check接口未对传入的XML数据进行安全解析，未禁用外部实体引用，攻击者可利用该漏洞远程构造恶意XML数据，读取服务器本地文件、探测内网端口、导致敏感信息泄露。

<**>

建议：

---

厂商补丁：

O2OA
----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/SourByte05/SourByte-Lab/issues/7

浏览次数：125
严重程度：0（网友投票）