XXE Vulnerability Exploited in OopsSec Store's Supplier Order Import Feature

L'article décrit l'exploitation d'une vulnérabilité d'injection d'entités externes XML (XXE) dans la fonctionnalité d'importation des commandes fournisseurs de l'OopsSec Store. L'interface d'administration expose un point de terminaison d'importation XML qui résout les entités externes, permettant la lecture arbitraire de fichiers sur le serveur. L'exploitation nécessite un accès administrateur, obtenu via une autre vulnérabilité. La reconnaissance identifie la page d'importation des fournisseurs et comprend l'API. L'exploitation implique la création d'un payload XML avec une déclaration d'entité SYSTEM pour lire le fichier cible. La réponse inclut le contenu du fichier dans le champ "notes". La correction implique la désactivation du traitement DTD et la suppression des déclarations DOCTYPE.