【漏洞复现】华天动力OA downloadWpsFile 任意文件读取漏洞

已于 2024-10-15 15:18:09 修改
阅读量212 收藏 3
点赞数 9
分类专栏: 漏洞复现 文章标签: 网络 web渗透 网络安全 渗透测试
于 2024-09-08 00:02:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41924764/article/details/141828655
版权

免责声明:

        本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担责任。读者在使用本文所提供的信息时,必须遵守适用法律法规和相关服务协议,并独自承担所有风险和责任。如有侵权,请联系删除。

漏洞描述

华天动力 OA downloadWpsFile 接口中存在任意文件读取漏洞。该漏洞允许未经授权的攻击者通过特定的请求读取服务器上的任意文件,而这些文件可能包含敏感信息,例如系统配置文件、数据库凭证、日志文件等其他文件,企业内部的机密数据、客户信息以及其他隐私数据都面临着泄露的风险。

网络空间测绘

Fofa

body=
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0x0000001
关注
专栏目录
订阅专栏
漏洞复现】泛微OA E-Cology getdata.jsp SQL注入漏洞
alert['Hello World']
07-18 650
泛微OA E-Cology getdata.jsp 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。
漏洞预警】泛微E-Cology ofsLogin任意用户登陆漏洞
做自己喜欢的事,并将其发挥到极致!
05-17 5634
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞:泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
漏洞复现」时空智友ERP系统updater.uploadStudioFile 任意文件上传漏洞
qq_39894062的博客
06-30 913
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
【高危】泛微 e-cology9 存在任意用户登录漏洞
murphysec的博客
06-07 3679
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。将组件 e-cology9 升级至 10.57.2 及以上版本。
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞
xiaokp7的博客
07-24 150
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息。
华天动力OA downloadWpsFile.jsp 任意文件读取漏洞复现
0xSec
07-26 578
华天动力OAdownloadWpsFile.jsp 接口处存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
华天动力OA downloadWpsFile接口处任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-26 245
华天动力OA downloadWpsFile接口处存在任意 文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
华天动力OA TemplateService 任意文件读取漏洞复现
0xSec
12-28 1593
华天动力OA TemplateService接口处存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
Goby漏洞更新 | NUUO NVR 摄像机 __debugging_center_utils___.php 命令执行漏洞(CVE-2016-5674)
m0_46699477的博客
04-07 496
(CVE-2016-5674) NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备__debugging_center_utils___.php存在未授权远程命令执行漏洞,攻击者可在没有任何权限的情况下通过log参数执行任意PHP代码,从而入侵服务器,获取服务器的管理员权限。
x微E-Cology WorkflowServiceXml RCE1
08-03
x微E-Cology WorkflowServiceXml RCEx 微 E-Cology WorkflowServiceXml RCEx 微 E-Cology
【攻防演练】【含poc和修复建议】SuiteCRM responseEntryPoint SQL 注入漏洞
最新发布
zzxx191z的博客
07-27 367
使用防护类设备进行防护,拦截请求中出现的恶意 SOL语句。
漏洞复现】泛微OA E-Cology HrmCareerApplyPerView SQL注入漏洞
晚风不及你
05-15 733
泛微OA E-Cology HrmCareerApplyPerView存在SQL注入漏洞,允许攻击者非法访问和操作数据库,可能导致数据泄露、篡改、删除,甚至控制整个服务器
万户ezOFFICE fileUpload.controller接口任意文件上传
weixin_43567873的博客
03-05 268
万户ezOFFICE fileUpload.controller接口存在任意文件上传
漏洞复现】E-Cology OA——WorkflowServiceXml——SQL注入
LongL_GuYu的博客
07-20 850
E-Cology OA协同商务系统是一款面向中大型组织的数字化办公产品,它基于全新的设计理念和管理思想,旨在为中大型组织创建一个全新的高效协同办公环境。其WorkflowServiceXml接口存在sql注入,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句,以获取数据库敏感信息、修改数据或者执行其他恶意操作,还有可能直接通过sql注入获取服务器权限。
万户 ezOFFICE DocumentEdit.jsp SQL注入漏洞复现
0xSec
12-10 1353
万户 ezOFFICEDocumentEdit.jsp 存在SQL注入漏洞。由于'DocumentID'参数缺乏过滤,允许攻击者利用漏洞获取数据库敏感信息。
漏洞复现】时空智友ERP——uploadStudioFile——任意文件上传
LongL_GuYu的博客
07-10 864
时空智友ERP是专为医药等行业设计的综合性企业资源规划系统,融合云计算和移动技术,支持多组织管理。。其uploadStudioFile接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务器上,包括木马后门文件,导从而获取服务器权限。
1day!!!金和OA viewConTemplate.action RCE漏洞-未公开
weixin_43167326的博客
03-14 396
金和OA协同办公管理系统软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。
致远oa wpsassistservlet 任意文件读取漏洞
12-27
致远oa wpsassistservlet 任意文件读取漏洞是一种安全漏洞,攻击者可以利用该漏洞读取系统中的任意文件,包括重要的系统文件及用户数据文件。攻击者可以通过该漏洞来获取敏感信息,危害系统安全。 这个漏洞存在的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0x0000001

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值