金蝶云星空任意文件读取漏洞

已于 2023-08-14 10:25:09 修改
阅读量1k 收藏 3
点赞数
分类专栏: 网络安全漏洞复现 文章标签: 网络安全 python 数据库
于 2023-08-03 13:34:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/holyxp/article/details/132081476
版权

金蝶云星空任意文件读取漏洞

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、 产品简介

​ 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务,帮助企业实现数字化营销新生态及管理重构等,提升企业数字化能力。

二、 漏洞概述

金蝶云星空CommonFileServer接口处​由于权限设置不当,未经身份认证的攻击者可以利用此漏洞访问服务器上的任意文件,包括数据库凭据、API密钥、配置文件等,从而获取系统权限和敏感信息。

三、 影响范围

​金蝶云星空-管理中心 6.x版本 && 7.x版本 && 8.x版本

四、 复现环境

FOFA语句&

了解本专栏 订阅专栏 解锁全文 超级会员免费看
金蝶云星空任意文件读取漏洞复现(0day)
0xSec
07-31 2923
由于金蝶云星空CommonFileServer接口处权限设置不当,未经身份认证的攻击者可以利用此漏洞访问服务器上的任意文件,包括数据库凭据、API密钥、配置文件等,从而获取系统权限和敏感信息。
金蝶*星空管理中心任意文件读取漏洞复现 CNVD-2021-86835
afei001
09-17 421
金蝶*星空管理中心是金*软件(中国)有限公司基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。 金蝶*星空CommonFileServer接口处权限设置不当,未经身份认证的攻击者可以利用此漏洞下载服务器上的任意文件,存在任意文件下载漏洞,包括数据库凭据、API密钥、配置文件等,从而获取系统权限和敏感信息。
【成功复现】金蝶云星空反序列化远程代码执行漏洞
wuli1024的博客
01-25 3524
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。
金蝶云星空 CommonFileServer 任意文件读取漏洞复现
故事讲予风听
11-14 1339
金蝶云星空V7.X、V8.X所有私有云和混合云版本存在一个通用漏洞,攻击者可利用此漏洞获取服务器上的任意文件,包括数据库凭据、API密钥、配置文件等,从而获取系统权限和敏感信息。
金蝶云星空任意文件读取漏洞复现
08-01 1248
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务,帮助企业实现数字化营销新生态及管理重构等,提升企业数字化能力。
漏洞复现--金蝶云星空 CommonFileServer 任意文件读取
qq_53003652的博客
11-01 674
金蝶云星空是金蝶集团面向大中型企业的一个核心产品,聚焦多组织,多利润中心的企业。它以“开放、标准、社交”三大特性为数字经济时代的企业提供开放的ERP云平台。该产品CommonFileServer存在任意文件读取漏洞
kingdee漏洞金蝶云星空存在弱口令漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-19 2127
​ kingdee漏洞简介,金蝶云星是基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空存在弱口令漏洞,攻击者利用该漏洞登录系统后台,获取敏感信息。 CNNVD编号:CNVD-2022-15854 危害等级: 中危 CVE编号:未知 漏洞类型:通用型漏洞 威胁类型:未知 厂商:未知 漏洞来源:国家信息安全漏洞共享平台
金蝶 EAS及EAS Cloud任意文件上传漏洞复现
0xSec
11-20 1412
金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。
漏洞复现-金蝶系列
aming小老弟
03-14 1628
金蝶软件是中国领先的企业管理软件及云服务提供商,拥有众多产品和解决方案,其中包括四个主要产品系列。这四个产品系列分别是:金蝶ERP(Enterprise Resource Planning): 金蝶ERP是金蝶软件的核心产品之一,是一套全面的企业管理软件解决方案,涵盖了财务、供应链管理、生产制造、人力资源管理等多个领域,为企业提供全面的业务管理功能。金蝶ERP产品线包括不同版本,以满足不同规模和行业的企业需求。
漏洞复现】​金蝶云星空管理中心反序列化命令执行漏洞(RCE)
李火火的安全圈
07-23 4154
金蝶云星空管理中心是金蝶软件(中国)有限公司基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台,帮助企业实现数字化营销新生态及管理重构等,提升企业数字化能力。该软件存在远程命令执行漏洞,外部攻击者可通过使用恶意攻击手段对目标系统进行权限获取,进而接管服务器控制权。
金蝶云星空servicegateway接口存在反序列化漏洞_金蝶云星空 反序列化漏洞(2)
2301_76268112的博客
04-09 687
金蝶云星空管理中心在servicegateway-getserviceuri-common存在反序列化漏洞,外部攻击者可通过使用恶意攻击手段对目标系统进行权限获取,进而接管服务器控制权。
漏洞复现】​金蝶云星空管理中心
hackzkaq的博客
11-05 772
金蝶云星空是一款基于领先的可组装低代码PaaS平台,全面服务客户研发、生产、营销、供应链、财务等领域转型的企业管理服务平台。它已支持IPD、精益、阿米巴等先进管理理念在3.1万余家客户实践,一起助力企业“产品力、获客力、交付力、口碑力”。该漏洞存在于ScpSupRegHandler接口下,服务器对用户输入的数据没有进行严格的过滤,攻击者可以利用该漏洞获取服务器管理权限。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。免费领取安全学习资料包!
金蝶云星空RCE漏洞复现
热门推荐
0xSec
06-21 1万+
由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2533
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
金蝶云星空反序列化漏洞POC合集
yxr520yj的博客
12-30 326
影响版本fofa反序列化工具:https://github.com/pwntester/ysoserial.net生成请求头执行命令的PayloadPOC4:金蝶云星空K3Cloud-AppDesigner存在反序列化漏洞POC5:金蝶云星空K3Cloud-DynamicForm存在反序列化漏洞POC6:金蝶云星空ServiceGateway反序列化漏洞POC7:金蝶云星空AccountService反序列化漏洞
金蝶云星空servicegateway接口存在反序列化漏洞
qq_39573664的博客
12-27 1073
金蝶云星空管理中心在servicegateway-getserviceuri-common存在反序列化漏洞,外部攻击者可通过使用恶意攻击手段对目标系统进行权限获取,进而接管服务器控制权。
金蝶云星空 任意文件上传漏洞复现
11-21 3036
金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。金蝶云星空管理中心是金蝶软件(中国)有限公司基于云计算、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。
漏洞复现--金蝶云星空反序列化远程代码执行
qq_53003652的博客
01-08 1471
金蝶云星空是金蝶集团面向大中型企业的一个核心产品,聚焦多组织,多利润中心的企业。它以“开放、标准、社交”三大特性为数字经济时代的企业提供开放的ERP云平台。该产品存在反序列化漏洞,攻击者可通过此漏洞执行任意命令。
金蝶云星空管理中心反序列化RCE漏洞复现 附POC
薛定谔嘚喵博客
09-11 1391
金蝶云星空存在远程代码执行漏洞,由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。
金蝶云星空基础运维岗位面试题
最新发布
02-19
鉴于存在诸如“金蝶云星空任意文件上传漏洞”的安全风险案例[^1], 4. **面对潜在的安全威胁应该采取哪些预防手段?** - 实施严格的输入验证机制防止恶意脚本注入; 设置合理的权限控制策略限制敏感操作仅限授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全攻防赵小龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值