方维O2O商业系统SQL注入漏洞+XXE实体注入（demo验证）

简要描述： RT 详细说明： 方维O2O，demo站点地址：http://o2odemo.fanwe.net/ /cpapi/qxtapi.php define"FILEPATH","/cpapi"; requireonce '../system/systeminit.php'; $ip = CLIENTIP; $xml = filegetcontents'php://input'; if$ip!='221.179.180.156' || $xml=="" header"Content-Type:text/html; charset=utf-8"; echo "·Ç·¨·ÃÎÊ";...