用友UFIDA NC portal/pt/file/upload接口存在任意文件上传漏洞 附POC

最新推荐文章于 2024-11-10 15:12:00 发布
最新推荐文章于 2024-11-10 15:12:00 发布
阅读量326 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/141951616
版权

@[toc]

用友UFIDA NC portal/pt/file/upload接口存在任意文件上传漏洞 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 用友UFIDA NC 简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

用友网络是全球领先的企业与公共组织软件、云服务、金融服务提供商。提供营销、制造、财务、人力等产品与服务,帮助客户实现发展目标,进而推动商业和社会进步。

2.漏洞描述

用友UFIDA NC是用友推出的大型企业数字化平台。用友UFIDA NC portal/pt/file/upload接口存在任意文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

用友UFIDA NC

用友UFIDA NC portal/pt/file/upload接口存在任意文件上传漏洞

4.fofa查询语句

了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞复现】用友 UFIDA /portal/pt/file/upload 任意文件上传漏洞
alert['Hello World']
09-27 311
用友 UFIDA /portal/pt/file/upload 接口存在任意文件上传漏洞,攻击者可以通过漏洞上传任意文件甚至木马文件,从而获取服务器权限。
用友 UFIDA NC portal/file 任意文件读取漏洞(含批量验证poc
weixin_43567873的博客
04-18 242
用友 UFIDA NC portal/file 任意文件读取漏洞(含批量验证poc
用友-UFIDA-NC_saveDoc接口存在文件上传漏洞
m0_46604997的博客
04-25 689
UFIDA NC是一款基于B/S架构的ERP软件是面向大型企业集团的集团管理解决方案,它支持多语言、多币种、多国家的应用,覆盖了财务会计、人力资源、供应链、生产制造、销售物流等企业核心业务领域,还提供了自动化工作流程、数据采集、移动应用、BI报表、分析等功能,帮助企业迅速建立业务管理、信息共享和某协办公的平台。用友-UFIDA-NC saveDoc.ajax 存在任意文件上传漏洞,攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁!
漏洞复现】用友NC——文件上传漏洞
weixin_54799594的博客
07-16 1498
漏洞复现过程记录
用友 ufida-nc 文件读取漏洞
qq_36334672的博客
02-05 853
用友移动系统管理portal接口存在任意文件读取,攻击者可在无需登录的情况下进行任意文件读取。
漏洞复现】用友 U8-cloud api_hr sql注入漏洞
alert['Hello World']
06-27 538
用友 U8-cloud api/hr 接口存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。U8 cloud集中于企业内部管理管控,管理规范,高效,协同,透明。通过云模式,低成本,快速部署,即租即用帮助企业免除硬软件投入的快速 搭建企业管理架构。通过云服务连接,业务模式、服务模式的经营创新。该产品upload.jsp存在任意文件上传漏洞
用友NC portal/file 任意文件读取漏洞复现
0xSec
01-22 872
用友NC 系统 /portal/file接口存在任意文件读取漏洞,未经身份认证的攻击者可以通过此漏洞获取敏感信息,使系统处于极不安全状态。
漏洞复现】用友NC Cloud portal/file接口任意文件读取漏洞
做自己喜欢的事,并将其发挥到极致!
01-23 1126
用友 NC Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。为客户提供面向大型企业集团、制造业、消费品、建筑、房地产、金融保险等14个行业大类,68个细分行业,涵盖数字营销、智能制造、财务共享、数字采购等18大解决方案,帮助企业全面落地数字化。用友NC Cloud portal/file接口存在任意文件读取漏洞
漏洞复现-某友UFIDA NC系统某接口未授权访问漏洞漏洞检测脚本)
jjjj1029056414的博客
12-12 1067
漏洞复现-某友UFIDA NC系统某接口未授权访问漏洞带自己写的poc脚本
用友UFIDA-NC-saveDoc任意文件上传漏洞
qq_36334672的博客
03-08 542
用友-UFIDA-NC saveDoc.ajax 存在任意文件上传,攻击者可通过此漏洞上传恶意脚本文件,获取系统权限。
用友NC saveImageServlet 任意文件上传漏洞复现(XVE-2024-7471)
0xSec
04-12 828
用友 NC saveImageServlet 接口存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友NC接口saveXmlToFIleServlet文件上传漏洞(含批量验证poc
weixin_43567873的博客
04-08 362
用友NC接口saveXmlToFIleServlet文件上传漏洞(含批量验证poc
用友UFIDA-NC download 任意文件下载漏洞复现(含nuclei-poc
m0_50797689的博客
03-21 421
用友UFIDA-NC download 任意文件下载漏洞复现(含nuclei-poc
网络安全从零开始学习CTF——CTF基本概念
Hacker_Oldv的博客
11-09 1690
不要太深入,差不多就可以了,对照文档就可以写出程序就差不多了且能看得懂就好了,因为每个语言都是学不完的,一直在更新,如果过分专注于一个语言,安全知识就挺容易漏下的。上面都是个人想法,怎么选都要靠自己决定,要不要深入、深入哪一门都是问题,一定要考虑清楚再下手,别等下学了一半就改变方向,这是学习的大忌,因为你学其它的也会这样,除非是你发现这个不是很适合你的发展。其中,一血、二血、三血拿的分数比较高,后面答该题的队伍拿的分数就一样了,答题的队伍越少,分数就越多,然后按分数排名,确定进入决赛的队伍。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 568
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
信息安全工程师(82)操作系统安全概述
m0_73399576的博客
11-08 1425
信息安全工程师——操作系统安全概述篇
电子电气架构--- 实施基于以太网的安全车载网络
最新发布
Soly_kun的博客
11-10 742
电子电气架构--- 实施基于以太网的安全车载网络
【 AI写作鹅-注册安全分析报告-无验证方式导致安全隐患】
11-08 1233
合肥名阳信息技术有限公司成立于2016年,是一家专门从事移动互联网应用研发和运营的国家高新技术企业。公司坚持以用户为中心,打造富有吸引力的产品,满足移动互联网用户各项需求。公司产品涵盖:AI配音、AI写作、AiPPT、同声传译、文生视频,AI绘画、各种工具类应用,为消费者提供完善的办公、多媒体等领域的解决方案,秉承着专业、服务、高效、客户至上的原则,多年来致力于为用户提供服务新体验。
UFIDA NC 5.7安装全攻略:从准备到升级
"用友UFIDA NC 5.7安装指南" 用友UFIDA NC 5.7是一款基于J2EE技术的企业级应用软件,专为大型企业设计,提供全面的财务管理、供应链管理、人力资源管理等功能。该版本在设计上采用了全B/S架构,确保了系统的高可靠...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值