一、 漏洞 CVE-2025-1225 基础信息
漏洞标题
ywoa WXCallBack接口XMLParse.java提取xml外部实体引用漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在ywoa版本2024.07.03及之前版本中发现了一个被归类为高危的安全漏洞。该漏洞影响组件WXCallBack Interface中的文件c-main/src/main/java/com/redmoon/weixin/aes/XMLParse.java中的extract功能。此漏洞可能导致XML外部实体引用。攻击者可能远程发起攻击。该漏洞的利用细节已公开,存在被利用的风险。建议升级到2024.07.04版本以修复此漏洞。建议用户升级受影响组件。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:AIGC 神龙大模型
漏洞标题
ywoa WXCallBack Interface XMLParse.java extract xml external entity reference
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability, which was classified as problematic, has been found in ywoa up to 2024.07.03. This issue affects the function extract of the file c-main/src/main/java/com/redmoon/weixin/aes/XMLParse.java of the component WXCallBack Interface. The manipulation leads to xml external entity reference. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 2024.07.04 is able to address this issue. It is recommended to upgrade the affected component.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1225 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1225 的情报信息

  • 标题: Yunwang OA-servlet/WXCallBack interface Unauthorized XXE vulnerability · Issue #IBI81R · rabbit/OA协同办公系统,流程专家(带有低代码开发平台的OA) - Gitee -- 🔗来源链接

    标签: exploit issue-tracking

    Yunwang OA-servlet/WXCallBack interface Unauthorized XXE vulnerability · Issue #IBI81R · rabbit/OA协同办公系统,流程专家(带有低代码开发平台的OA) - Gitee

  • 标题: CVE-2025-1225 ywoa WXCallBack Interface XMLParse.java extract xml external entity reference (IBI81R) -- 🔗来源链接

    标签: signature permissions-required

    CVE-2025-1225 ywoa WXCallBack Interface XMLParse.java extract xml external entity reference (IBI81R)

  • 标题: CVE-2025-1225 ywoa WXCallBack Interface XMLParse.java extract xml external entity reference (IBI81R) -- 🔗来源链接

    标签: vdb-entry technical-description

    CVE-2025-1225 ywoa WXCallBack Interface XMLParse.java extract xml external entity reference (IBI81R)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-1225