nvd
Jinher
Уязвимости
12
Эксплуатируемые
0
Критический
0
Высокий
0
Топ продуктов
Топ уязвимостей
CVE-2025-9669Уязвимость была обнаружена в Jinher OA 1.0. Эта проблема затрагивает неизвестную обработку файла GetTreeDate.aspx. Манипуляция аргументом ID приводит к sql инъекции. Удаленное использование атаки возможно. Эксплойт был раскрыт общественности и может быть использован.
CVE-2025-7824В Jinher OA 1.1 обнаружена уязвимость, классифицированная как проблематичная. Затронута неизвестная функция файла XmlHttp.aspx. Манипуляция приводит к ссылке на внешнюю XML-сущность. Атака может быть запущена удаленно. Эксплойт был раскрыт общественности и может быть использован. Были изучены технические детали, доступные на [1], [2] и [3]. Источники: - [1] https://vuldb.com/?id.316925 - [2] https://github.com/cc2024k/CVE/issues/2 - [3] https://vuldb.com/?ctiid.316925
Источники:
- [1] https://vuldb.com/?id.316925
- [2] https://github.com/cc2024k/CVE/issues/2
- [3] https://vuldb.com/?ctiid.316925
CVE-2025-7823В Jinher OA 1.2 обнаружена уязвимость. Уязвимость затрагивает неизвестный код файла ProjectScheduleDelete.aspx. Манипуляция приводит к внешней ссылке на сущность XML (XML External Entity Reference). Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован [1].
Источники:
- [1] https://vuldb.com/?id.316924
- [2] https://vuldb.com/?ctiid.316924
- [3] https://vuldb.com/?submit.616841
- [4] https://github.com/cc2024k/CVE/issues/3
CVE-2025-7523В Jinher OA 1.0 обнаружена уязвимость, связанная с XML External Entity Reference. Затронута неизвестная функциональность файла /c6/Jhsoft.Web.message/ToolBar/DelTemp.aspx. Манипуляция приводит к уязвимости XML External Entity (XXE). Атака может быть проведена удаленно. Эксплойт был обнародован и может быть использован [1].
### Описание
Во время тестирования безопасности системы Jinhe OA была обнаружена критическая уязвимость XXE-инъекции в эндпоинте DelTemp.aspx. Эта уязвимость позволяет неаутентифицированным злоумышленникам отправлять специально созданные XML-документы, содержащие внешние ссылки на сущности. Сервер обрабатывает эти сущности, что позволяет осуществлять кражу данных через внеполосные методы.
### Возможные последствия
Злоумышленники могут использовать эту уязвимость для чтения произвольных файлов с сервера, проведения атак SSRF, сканирования внутренних сетей и потенциально для выполнения удаленного кода. Конфиденциальные системные файлы и данные конфигурации могут быть раскрыты.
### Рекомендации по исправлению
1. **Используйте безопасную обработку XML**: Отключите обработку внешних сущностей в XML.
2. **Проверка и фильтрация входных данных**: Строго проверяйте и фильтруйте данные, введенные пользователем, чтобы предотвратить XXE-атаки.
Источники:
- [1] https://github.com/BigMancer/Jinhe-OA-XXE-Vulnerability
CVE-2025-11341Недостаток безопасности был обнаружен в Jinher OA до 2,0. Это влияет на неизвестную функцию файла /c6/Jhsoft.Web.module/eformaspx/WebDesign.aspx/?type=SystemUserInfo&style=1. Выполнение манипуляций приводит к ссылке на xml внешнюю сущность. Отдаленное использование атаки возможно. Эксплойт был обнародован и может быть использован.
CVE-2025-10816Недостаток безопасности был обнаружен в Jinher OA 2.0. Это затрагивает неизвестную часть файла /c6/Jhsoft.Web.module/ToolBar/GetWordFileName.aspx/?text=GetUrl&style=dd компонента XML Handler. Выполнение манипуляций приводит к xml внешнему объекту ссылки. Атака может быть инициирована дистанционно. Эксплойт был обнародован и может быть использован.
CVE-2025-10092Обнаружена уязвимость в Jinher OA до версии 1.2. Затрагивается неизвестная функция файла /c6/Jhsoft.Web.projectmanage/TaskManage/AddTask.aspx/?Type=add компонента XML Handler. Манипуляция приводит к ссылке на внешнюю XML-сущность. Атака может быть выполнена удаленно. Эксплойт был обнародован и может быть использован [1].
Во время тестирования безопасности системы Jinher OA была обнаружена критическая уязвимость XXE-инъекции в конечной точке ProjectScheduleDelete.aspx. Эта уязвимость позволяет неаутентифицированным злоумышленникам отправлять специально созданные XML-документы, содержащие ссылки на внешние сущности. Сервер обрабатывает эти сущности, что позволяет осуществлять эксфильтрацию данных с помощью методов внеполосного взаимодействия [1].
Рекомендации по исправлению:
- Отключить обработку внешних XML-сущностей.
- Проверить содержимое загружаемого Zip-файла.
- Использовать более безопасный метод загрузки.
Источники:
- [1] https://github.com/Cstarplus/CVE/issues/3
- [2] https://vuldb.com/?id.323047
- [3] https://vuldb.com/?ctiid.323047
- [4] https://vuldb.com/?submit.644868
CVE-2025-10091В Jinher OA до версии 1.2 обнаружена уязвимость XML External Entity (XXE) Injection в файле /c6/Jhsoft.Web.projectmanage/ProjectManage/XmlHttp.aspx/?Type=add. Злоумышленник может отправить специально сформированный XML-документ, содержащий внешние сущности, что позволяет ему читать произвольные файлы на сервере или проводить атаки SSRF [1].
Для эксплуатации уязвимости не требуется аутентификация, и технический детали и PoC эксплойта доступны публично [2].
Рекомендуемые меры по исправлению включают отключение обработки внешних сущностей XML и реализацию строгой валидации входных данных [3].
Источники:
- [1] https://vuldb.com/?id.323046
- [2] https://github.com/Cstarplus/CVE/issues/2
- [3] https://www.scip.ch/en/?labs.20161013
CVE-2025-10090В Jinher OA версии до 1.2 обнаружена уязвимость. Воздействие оказывается на неизвестную функцию файла /C6/Jhsoft.Web.departments/GetTreeDate.aspx. Манипуляция аргументом ID приводит к SQL-инъекции. Атака может быть проведена удаленно, и доступен публичный эксплойт [1]. Уязвимость позволяет получить несанкционированный доступ к конфиденциальным данным пользователя и бизнес-информации, а также потенциально повысить привилегии через доступ к базе данных. Рекомендуемое исправление включает использование параметризованных запросов и строгую валидацию пользовательского ввода.
Источники:
- [1] https://github.com/Cstarplus/CVE/issues/1
- [2] https://vuldb.com/?id.323045
- [3] https://vuldb.com/?ctiid.323045
- [4] https://vuldb.com/?submit.644635
CVE-2025-2587Уязвимость, классифицированная как критическая, была обнаружена в Jinher OA C6 1.0. Это затрагивает неизвестную часть файла IncentivePlanFulfillAppprove.aspx. Манипуляция аргументом httpOID приводит к SQL-инъекции. Атаку можно инициировать удаленно. Эксплойт был раскрыт общественности и может быть использован.
CVE-2025-9931В Jinher OA 1.0 обнаружена уязвимость. Проблема затрагивает неизвестную функцию файла /jc6/platform/sys/login!changePassWord.action в компоненте POST Request Handler. Манипуляция аргументом Account приводит к межсайтовому скриптингу. Атака может быть проведена удаленно. Эксплойт доступен публично и может быть использован [1].
Источники:
- [1] https://github.com/1276486/CVE/issues/4
- [2] https://vuldb.com/?id.322333
- [3] https://vuldb.com/?ctiid.322333
- [4] https://vuldb.com/?submit.642997
CVE-2025-11035В продукте Jinher OA 2.0 обнаружена уязвимость, связанная с внешней сущностью XML (XXE). Злоумышленник может воспользоваться этой уязвимостью для чтения произвольных файлов на сервере, выполнения атак SSRF и потенциально для выполнения кода на сервере [1].
Источники:
- [1] https://vuldb.com/?id.325982
- [2] https://vuldb.com/?ctiid.325982
- [3] https://vuldb.com/?submit.658253
- [4] https://github.com/frwfxc123/CVE/issues/1