红帆iOffice iorepsavexml.aspx接口存在任意文件上传漏洞 附POC

最新推荐文章于 2024-09-04 20:36:45 发布
最新推荐文章于 2024-09-04 20:36:45 发布
阅读量556 收藏 9
点赞数 10
分类专栏: 漏洞复现 文章标签: 网络 安全性测试 web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/135176151
版权
本文详细介绍了红帆iOffice的iorepsavexml.aspx接口存在的任意文件上传漏洞,包括漏洞描述、影响版本、复现步骤以及POC。此漏洞可能影响红帆iOffice.net信息管理平台,建议受影响的用户联系厂商更新补丁以确保网络安全。
摘要由CSDN通过智能技术生成

@[toc]

红帆iOffice iorepsavexml.aspx接口存在任意文件上传漏洞 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 红帆iOffice iorepsavexml.aspx接口简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

红帆iOffice.net从最早满足医院行政办公需求(传统OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件。

2.漏洞描述

红帆iOffice.net从最早满足医院行政办公需求(传统OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。红帆iOffice.net iiorepsavexml.aspx处存在任意文件上传漏洞。

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

红帆iOffice.net信息管理平台信息化平台

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
红帆OA udfmr.asmx SQL注入漏洞复现
0xSec
08-18 3804
红帆iOffice.netudfmr.asmx接口存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
漏洞复现】红帆OA iorepsavexml.aspx文件上传漏洞
失心少年
12-16 1043
广州红帆科技深耕医疗行业20余年,专注医院行政管控,与企业微信、阿里钉钉全方位结合,推出web移动一体化办公解决方案——iOffice20(医微云)。提供行政办公、专业科室应用、决策辅助等信息化工具,采取平台化管理模式,取代医疗机构过往多系统分散式管理,实现医院内各科室之间的快速分工合作,并通过整合各类管理应用,让医疗机构管理者随时随地把控医院的运营管理情况,同时为行政管理人员提供便捷多终端的移动协同工具,推进移动办公全面落地,深化互联网+医疗建设,成就面向医疗机构的“智慧管控”。
漏洞复现-红帆OA iorepsavexml.aspx文件上传漏洞漏洞检测脚本)
jjjj1029056414的博客
12-24 1777
漏洞复现-红帆OA iorepsavexml.aspx文件上传漏洞带自己写的poc脚本
红帆ioffice-udfGetDocStep.asmx存在SQL注入漏洞
qq_36334672的博客
03-13 321
红帆iOffice.net udfGetDocStep.asmx接口存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
红帆OA iorepsavexml接口任意文件上传漏洞(含批量验证poc)_ ioffice prg set iocom iodoceditservernew
2401_83974370的博客
04-14 474
红帆OA,即红帆办公自动化系统,是一种基于微软.NET技术开发的办公自动化解决方案。它旨在解决企业或政府办公中遇到的“自动化孤岛”和“信息化孤岛”问题,提供支持信息访问、传递以及跨组织工作的集成化商务环境。红帆OA 存在任意文件上传漏洞,攻击者可通过此漏洞上传webshell木马,获取服务器控制权限。
红帆OA iorepsavexml接口任意文件上传漏洞复现 [POC]
薛定谔嘚喵博客
12-08 580
红帆移动OA系统,是广州红帆电脑科技有限公司基于微软.NET技术研发的,建立以笔记本、手机等便捷终端为载体实现的移动信息化系统。可以连接客户原有的iOffice.net办公平台使手机也可以用以操作、浏览、管理公司的全部工作事务,是iOffice.net办公平台的一个强有力的补充。红帆OA iorepsavexml接口存在任意文件上传漏洞,可上传恶意文件至服务器。
红帆OA iorepsavexml接口任意文件上传漏洞(含批量验证poc
weixin_43567873的博客
04-07 100
红帆OA iorepsavexml接口任意文件上传漏洞(含批量验证poc
漏洞复现】红帆-ioffice-ioFileDown-文件读取
知黑而守白
03-05 153
红帆HFOffice医微云是广州红帆科技有限公司研发的专注医疗行政办公管理,与企业微信全方位结合,提供协同办公、知识库、专家系统、BI等应用,进一步帮助医院移动办公落地,成就面向医院管理的“智慧管理”。红帆HFOffice ioFileDown 接口存在一个任意文件读取漏洞,攻击者可以通过构造精心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。通过利用此漏洞,攻击者可能获得系统内的敏感信息,导致潜在的信息泄露风险。
2021 HW 漏洞清单汇总 ( poc )
gjgj的博客
04-23 1万+
2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(历史漏洞) CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道项目管理软件11.6禅道 11.6 sql注...
暴力破解!ioffice.net 政务系统安装
影子'的专栏
04-17 3902
  单位的政务系统服务器要换了,所有系统盘可用空间就只有15M,晕,放几个word文档就挂了。服务器星期六下午到的货,呵呵,dell 2950 。配置还不错,因为所在的服务器机架只剩下最高的一层有空位了(目测在2米左右),和电脑公司的三个人好不容易才把服务器装去(服务器重10公斤,长1.2米,宽0.6米),然后是安装系统,软件,杀软,防火墙,驱动不用自己装,DELL的安装光盘做是就好啊,一次性引导
网红漏洞“致远OA系统上的GetShell漏洞”详解
热门推荐
systemino的博客
07-08 1万+
概述 腾讯御界高级威胁检测系统近期监测到“致远OA系统上的 GetShell漏洞”在网上被频繁利用攻击政企客户。 对于存在漏洞的OA系统,攻击者无需任何权限,即可向服务器上传webshell。 腾讯驻场工程师通过御界高级威胁检测系统告警通知及时向客户通报并采取必要措施,客户业务系统未受攻击影响。 详细分析 该漏洞最早于6月26号左右,有安全厂商发出漏洞预警。 远程攻击者在无需登录的...
任意文件查看与下载漏洞
qq_57307348的博客
02-22 3870
任意文件查看与下载漏洞 一些网站的业务需求,可能提供文件查看或下载功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源代码文件,敏感文件等等 形成漏洞的原因 存在读取文件的函数 读取文件的路径用户可控且未校验或校验不严格 输出了文件内容 漏洞危害 下载服务器任意文件,包含脚本代码文件,系统敏感文件等,可以配合其他类型的漏洞,进一步代码审计,查找更多可利用的代码 漏洞的分类 任意文件的读取 任意文件下载 任意文件的读取 查看源代码
iOffice.net 2007 System 发布倒计时
weixin_34283445的博客
06-25 141
随着iOffice.net 2007正式发布的临近,相关准备工作也在加紧进行。近期为最后的如期发布制作了新的iOffice.net Logo、新的许可证(以后iOffice.net的程序对所有正式、试用客户均完全相同,每个客户颁发唯一的许可证,其中试用客户颁发的是文件型的许可证,有使用时间限制,正式客户颁发的是加密狗型许可证,无时间限制,每一许可证有唯一的序列号,并与...
2021HW | 04/09 第一天总结
hackzkaq的博客
04-09 2521
HW情报
红帆CRM最新更新
weixin_33862041的博客
02-22 143
一直以来没有谈过iOffice.net上的CRM模块,2010新年更新功能如下: 1、增加客户信息“自定义字段”(使用者)2、增加设置客户信息的标签页显示或隐藏功能(管理员)3、增加功能树菜单显示或隐藏部分项目功能(使用者)4、增加“工作周报”功能模块,自动统计、生成工作周报(使用者)5、合同管理模块,增加收款操作,触发财务(用友、金碟)流程。(使用者)6、销售机会部分,增...
红帆移动OA 1.0.1版本已经发布
weixin_34120274的博客
02-01 201
注意:须删除旧程序,重新下载安装! 红帆移动OA 新版本1.0.1已经发布至App Store,有如下更新: 【新增】 1、新增流程(包括流程的处理,表单的查看和编辑等)。 2、新增消息推送功能,当设备连接上网络时可以即时获取到消息提醒。 3、新增离线登录功能(只限于最后一次登录成功的用户),在此状态下可查看公司通讯录和个人通讯录。 4、新增评价功能...
UDP协议
最新发布
hyldzbg的博客
09-04 852
把当前要计算校验和的数据,每个字节,都进行累加,把结果保存到这两个字节的变量(校验和)中,过程中溢出也没关系,如果中间某个数据,出现传输错误,第二次计算的校验和就会和第一次不同(CRC这个算法其实不是特别靠谱,比如如果前一个字节大小少1,后一个字节大小多1,那么最后得到的校验和任然相同,但是数据可能已经不同了)。描绘这个数据报的报文长度(包含报头),这里的长度是指该报文有多少个字节,因为只有16位比特位的大小,因为数据传输可能会出错,所以需要一定的方法知道所传输的数据是否正确传输。
RK3588开发板利用udp发送和接收数据
cumtchw
09-01 729
RK3588开发板利用udp发送和接收数据
uni-app 微信小程序分享
07-27
title: '胶南街道召开“红帆支部”观摩学习暨工作推进会', type: 0, summary: "" } } ``` 在onShareAppMessage方法中,可以设置分享的标题、路径和微信小程序的AppId。在onShareTimeline方法中,可以设置分享到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值