V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Jinher

Уязвимости
12
Эксплуатируемые
0
Критический
0
Высокий
0

Топ продуктов

Топ уязвимостей

CVE-2025-9669Уязвимость была обнаружена в Jinher OA 1.0. Эта проблема затрагивает неизвестную обработку файла GetTreeDate.aspx. Манипуляция аргументом ID приводит к sql инъекции. Удаленное использование атаки возможно. Эксплойт был раскрыт общественности и может быть использован.
CVE-2025-7824В Jinher OA 1.1 обнаружена уязвимость, классифицированная как проблематичная. Затронута неизвестная функция файла XmlHttp.aspx. Манипуляция приводит к ссылке на внешнюю XML-сущность. Атака может быть запущена удаленно. Эксплойт был раскрыт общественности и может быть использован. Были изучены технические детали, доступные на [1], [2] и [3]. Источники: - [1] https://vuldb.com/?id.316925 - [2] https://github.com/cc2024k/CVE/issues/2 - [3] https://vuldb.com/?ctiid.316925 Источники: - [1] https://vuldb.com/?id.316925 - [2] https://github.com/cc2024k/CVE/issues/2 - [3] https://vuldb.com/?ctiid.316925
CVE-2025-7823В Jinher OA 1.2 обнаружена уязвимость. Уязвимость затрагивает неизвестный код файла ProjectScheduleDelete.aspx. Манипуляция приводит к внешней ссылке на сущность XML (XML External Entity Reference). Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован [1]. Источники: - [1] https://vuldb.com/?id.316924 - [2] https://vuldb.com/?ctiid.316924 - [3] https://vuldb.com/?submit.616841 - [4] https://github.com/cc2024k/CVE/issues/3
CVE-2025-7523В Jinher OA 1.0 обнаружена уязвимость, связанная с XML External Entity Reference. Затронута неизвестная функциональность файла /c6/Jhsoft.Web.message/ToolBar/DelTemp.aspx. Манипуляция приводит к уязвимости XML External Entity (XXE). Атака может быть проведена удаленно. Эксплойт был обнародован и может быть использован [1]. ### Описание Во время тестирования безопасности системы Jinhe OA была обнаружена критическая уязвимость XXE-инъекции в эндпоинте DelTemp.aspx. Эта уязвимость позволяет неаутентифицированным злоумышленникам отправлять специально созданные XML-документы, содержащие внешние ссылки на сущности. Сервер обрабатывает эти сущности, что позволяет осуществлять кражу данных через внеполосные методы. ### Возможные последствия Злоумышленники могут использовать эту уязвимость для чтения произвольных файлов с сервера, проведения атак SSRF, сканирования внутренних сетей и потенциально для выполнения удаленного кода. Конфиденциальные системные файлы и данные конфигурации могут быть раскрыты. ### Рекомендации по исправлению 1. **Используйте безопасную обработку XML**: Отключите обработку внешних сущностей в XML. 2. **Проверка и фильтрация входных данных**: Строго проверяйте и фильтруйте данные, введенные пользователем, чтобы предотвратить XXE-атаки. Источники: - [1] https://github.com/BigMancer/Jinhe-OA-XXE-Vulnerability
CVE-2025-11341Недостаток безопасности был обнаружен в Jinher OA до 2,0. Это влияет на неизвестную функцию файла /c6/Jhsoft.Web.module/eformaspx/WebDesign.aspx/?type=SystemUserInfo&style=1. Выполнение манипуляций приводит к ссылке на xml внешнюю сущность. Отдаленное использование атаки возможно. Эксплойт был обнародован и может быть использован.
CVE-2025-10816Недостаток безопасности был обнаружен в Jinher OA 2.0. Это затрагивает неизвестную часть файла /c6/Jhsoft.Web.module/ToolBar/GetWordFileName.aspx/?text=GetUrl&style=dd компонента XML Handler. Выполнение манипуляций приводит к xml внешнему объекту ссылки. Атака может быть инициирована дистанционно. Эксплойт был обнародован и может быть использован.
CVE-2025-10092Обнаружена уязвимость в Jinher OA до версии 1.2. Затрагивается неизвестная функция файла /c6/Jhsoft.Web.projectmanage/TaskManage/AddTask.aspx/?Type=add компонента XML Handler. Манипуляция приводит к ссылке на внешнюю XML-сущность. Атака может быть выполнена удаленно. Эксплойт был обнародован и может быть использован [1]. Во время тестирования безопасности системы Jinher OA была обнаружена критическая уязвимость XXE-инъекции в конечной точке ProjectScheduleDelete.aspx. Эта уязвимость позволяет неаутентифицированным злоумышленникам отправлять специально созданные XML-документы, содержащие ссылки на внешние сущности. Сервер обрабатывает эти сущности, что позволяет осуществлять эксфильтрацию данных с помощью методов внеполосного взаимодействия [1]. Рекомендации по исправлению: - Отключить обработку внешних XML-сущностей. - Проверить содержимое загружаемого Zip-файла. - Использовать более безопасный метод загрузки. Источники: - [1] https://github.com/Cstarplus/CVE/issues/3 - [2] https://vuldb.com/?id.323047 - [3] https://vuldb.com/?ctiid.323047 - [4] https://vuldb.com/?submit.644868
CVE-2025-10091В Jinher OA до версии 1.2 обнаружена уязвимость XML External Entity (XXE) Injection в файле /c6/Jhsoft.Web.projectmanage/ProjectManage/XmlHttp.aspx/?Type=add. Злоумышленник может отправить специально сформированный XML-документ, содержащий внешние сущности, что позволяет ему читать произвольные файлы на сервере или проводить атаки SSRF [1]. Для эксплуатации уязвимости не требуется аутентификация, и технический детали и PoC эксплойта доступны публично [2]. Рекомендуемые меры по исправлению включают отключение обработки внешних сущностей XML и реализацию строгой валидации входных данных [3]. Источники: - [1] https://vuldb.com/?id.323046 - [2] https://github.com/Cstarplus/CVE/issues/2 - [3] https://www.scip.ch/en/?labs.20161013
CVE-2025-10090В Jinher OA версии до 1.2 обнаружена уязвимость. Воздействие оказывается на неизвестную функцию файла /C6/Jhsoft.Web.departments/GetTreeDate.aspx. Манипуляция аргументом ID приводит к SQL-инъекции. Атака может быть проведена удаленно, и доступен публичный эксплойт [1]. Уязвимость позволяет получить несанкционированный доступ к конфиденциальным данным пользователя и бизнес-информации, а также потенциально повысить привилегии через доступ к базе данных. Рекомендуемое исправление включает использование параметризованных запросов и строгую валидацию пользовательского ввода. Источники: - [1] https://github.com/Cstarplus/CVE/issues/1 - [2] https://vuldb.com/?id.323045 - [3] https://vuldb.com/?ctiid.323045 - [4] https://vuldb.com/?submit.644635
CVE-2025-2587Уязвимость, классифицированная как критическая, была обнаружена в Jinher OA C6 1.0. Это затрагивает неизвестную часть файла IncentivePlanFulfillAppprove.aspx. Манипуляция аргументом httpOID приводит к SQL-инъекции. Атаку можно инициировать удаленно. Эксплойт был раскрыт общественности и может быть использован.
CVE-2025-9931В Jinher OA 1.0 обнаружена уязвимость. Проблема затрагивает неизвестную функцию файла /jc6/platform/sys/login!changePassWord.action в компоненте POST Request Handler. Манипуляция аргументом Account приводит к межсайтовому скриптингу. Атака может быть проведена удаленно. Эксплойт доступен публично и может быть использован [1]. Источники: - [1] https://github.com/1276486/CVE/issues/4 - [2] https://vuldb.com/?id.322333 - [3] https://vuldb.com/?ctiid.322333 - [4] https://vuldb.com/?submit.642997
CVE-2025-11035В продукте Jinher OA 2.0 обнаружена уязвимость, связанная с внешней сущностью XML (XXE). Злоумышленник может воспользоваться этой уязвимостью для чтения произвольных файлов на сервере, выполнения атак SSRF и потенциально для выполнения кода на сервере [1]. Источники: - [1] https://vuldb.com/?id.325982 - [2] https://vuldb.com/?ctiid.325982 - [3] https://vuldb.com/?submit.658253 - [4] https://github.com/frwfxc123/CVE/issues/1
Открыть в каталоге с фильтром по вендору →