免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
GoAnywhere MFT是一个管理文件传输的解决方案,它简化了系统、员工、客户和贸易伙伴之间的数据交换。
二、漏洞描述
Fortra的GoAnywhere MFT 7.4.1版本之前存在认证绕过漏洞,未经授权的用户可以通过管理门户创建一个管理员用户。
三、漏洞危害
未经授权的用户可以通过管理门户创建一个管理员用户。
四、影响范围
GoAnywhere MFT < 7.4.1
五、漏洞复现
quake title:"GoAnywhere"
访问 url/goanywhere/images/..;/wizard/InitialAccountSetup.xhtml 进行权限绕过,创建管理员账户密码。
六、漏洞复现
1、更新至安全版本 7.4.1
2、临时修复
- 删除安装目录中的InitialAccountSetup.xhtml文件并重新启动服务。
- 将InitialAccountSetup.xhtml文件替换为空文件并重新启动服务。