用友U8 Cloud NCPortalServlet 存在XXE漏洞(CNVD-2025-06352)

免责声明

本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规，并取得目标系统的明确授权。
对于因不当使用本文信息而造成的任何直接或间接后果，作者概不负责。若您发现本文内容涉及侵权或不当信息，请及时联系我们，我们将立即核实并采取必要措施。
举荐一个圈子，专注漏洞情报分享：https://pc.fenchuan8.com/#/index?forum=101997&yqm=DHL4E

自动化脚本已放入如上quanzi：

一：漏洞描述

用友U8 Cloud的NCPortalServlet接口存在XML外部实体注入（XXE）漏洞，攻击者可通过提交恶意XML请求读取服务器敏感文件（如配置文件、数据库凭证等），甚至可能进一步导致远程代码执行（RCE）。该漏洞因系统未对用户输入的XML数据进行有效过滤和实体禁用而产生，属于高危安全风险，建议用户尽快应用官方补丁或通过禁用外部实体解析进行临时