该专栏为热销专栏榜 第73名
超级会员免费看
本文介绍了飞企互联-FE企业运营管理平台的/servlet/uploadAttachmentServlet存在未授权文件上传漏洞,攻击者可利用此漏洞上传恶意后门,影响版本为version < 7.0。复现环境包括FOFA查询结果,PoC显示可通过在文件名后加特定字符绕过解析限制。建议受影响用户关注官方发布的修复程序。
0x01 产品简介
飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外,支持企业B2B、C2B与O2O等核心需求,为不同行业客户的互联网+转型提供支持。其特色在于提供云端工作环境,整合了人工智能、大数据分析和物联网设备管理,为不同行业客户的互联网+转型提供全面支持。通过智能化的决策支持和数据驱动的业务优化,企业可以更灵活、高效地运营业务,实现数字化转型的战略目标。
0x02 漏洞概述
飞企互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口处存在文件上传漏洞,未经身份验证的攻击者可以利用此漏洞上传恶意后门文件,获取服务器权限,进而控制整个web服务器。
0x03 影响范围
version < 7.0
0x04 复现环境
FOFA:app="FE-协作平台"
0x05 漏洞复现
漏洞url
/servlet/uploadAttachmentServlet
出现如上响应即默认存在漏洞
PoC
POST /servlet/uploadAttachmentServle
订阅专栏 解锁全文
159
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
