文章总结： 友加畅捷管理系统存在文件读取和XXE两个高危漏洞，分别位于/ReportDesign/RepFile.ashx和/fw.asmx接口，可能导致敏感信息泄露和服务器失陷。影响版本为18.8000.1095.1000，POC已公开。官方已发布修复版本，建议用户立即升级以确保系统安全。 综合评分： 83 文章分类： 漏洞预警,漏洞分析,WEB安全,应用安全,解决方案

漏洞预警 | 友加畅捷管理系统文件读取和XXE漏洞

浅安

浅安安全

2025年12月15日 08:00 广东

0x00 漏洞编号

• # 暂无

0x01 危险等级

• 高危

0x02 漏洞概述

友加畅捷管理系统是一款面向企业办公自动化的综合管理平台，提供流程审批、文档管理、协同办公等功能。

0x03 漏洞详情

#

漏洞类型：文件读取

影响：获取敏感信息

简述：友加畅捷管理系统的/ReportDesign/RepFile.ashx接口存在文件读取漏洞，未经过身份验证的远程攻击者可通过该漏洞读取系统重要文件、数据库配置文件等等，导致网站处于极度不安全状态。

漏洞类型：XXE

影响：获取敏感信息

简述：友加畅捷管理系统的/fw.asmx接口存在XXE漏洞，未经授权的攻击者可通过该漏洞读取服务器上敏感文件或探测内网服务信息，进一步利用可导致服务器失陷。

0x04 影响版本

• 友加畅捷管理系统 18.8000.1095.1000

0x05POC状态

• 已公开

0x06修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

http://www.youjiasoft.com/

查看原文：《漏洞预警 | 友加畅捷管理系统文件读取和XXE漏洞》