JEEVMS仓库管理系统任意文件读取漏洞

已于 2024-03-28 15:15:35 修改
阅读量173 收藏
点赞数 6
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-28 14:54:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137112129
版权
本文介绍了JEEVMS仓库管理系统中存在的一处任意文件读取漏洞,详细描述了漏洞情况、影响版本、复现过程,并给出了检测POC规则和修复建议。该漏洞影响了271个资产,目前尚无官方漏洞编号。
摘要由CSDN通过智能技术生成

产品简介

本WMS基于JAVA的仓库管理系统(支持3PL(三方物流)和厂内物流),包含PDA端和WEB端,功能涵盖WMS,OMS,BMS(计费管理系统),TMS,成功应用于多家国内知名大客户,客户群体:冷链,干仓,快消品,汽车主机厂和配件厂等行业

漏洞描述

JEEVMS仓库管理系统其showOrDownByurl接口存在任意文件读取漏洞

fofa及漏洞编号

fofa语句:

body="plug-in/lhgDialog/lhgdialog.min.js?skin=metro"

影响资产数量:271
 


漏洞编号:未知

影响版本

JEEVMS仓库管理系统

漏洞复现

get请求访问

GET /systemController/showOrDownByu
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
Jeecms弱口令和shiro反序列化RCE渗透测试记录
kelenwait的博客
07-03 9359
简介 Jeecms 是一个开源企业客户关系管理快速开发基础平台,Java企业应用开源框架,Java EE(J2EE)快速开发框架,使用经典技术组合(Spring、Spring MVC、Apache Shiro、hibernate4、EasyUI、Jqgrid、Bootstrap UI),核心模块如:组织机构、角色用户、权限授权、数据权限、内容管理、工作流等功能。 在企业官网、新闻站点、OA资源管理等多个领域都有应用。 由于使用的Apache Shiro 是低版本的,存在shiro反序列漏洞漏洞影响 弱口
JEECMS后台任意文件编辑漏洞及拿shell
收集盒 Book box
07-11 5214
JEECMS是基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点 · 采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构 安全性做得非常变态,当网站安装完成后就不再允许执行任何目录下的jsp文件了(web.xml配置了过滤器禁止了很多种动态脚本)。     2.x后台: login/Jeecms.do 3.x
JEEWMS存在任意文件读取漏洞
zkaqlaoniao的博客
06-20 241
JEEWMS基于JAVA的仓库管理系统(支持3PL(三方物流)和厂内物流),包含PDA端和WEB端,功能涵盖WMS,OMS,BMS(计费管理系统),TMS,成功应用于多家国内知名大客户,客户群体:冷链,干仓,快消品,汽车主机厂和配件厂等行业。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。帮助你在面试中脱颖而出。
网站漏洞怎么修复代码漏洞
A_991128a的博客
11-30 1144
jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,使用的是oracle,mysql,sql数据库,系统支持windows2008,windows2012,以及linux centos系统。
JEEWMS 任意文件读取漏洞
weixin_43567873的博客
03-29 85
JEEWMS 任意文件读取漏洞
nc57-任意文件读取漏洞补丁
06-08
【标题】"nc57-任意文件读取漏洞补丁" 涉及的是一个针对NC57软件的安全问题,该补丁旨在修复一个可能导致任意文件读取漏洞。在网络安全领域,这样的漏洞通常是非常严重的问题,因为它允许攻击者未经授权访问系统上...
jQuery-1.7.2任意文件读取漏洞验证利用脚本
04-27
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码库,在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件
Adminer≤4.6.2任意文件读取漏洞1
08-03
【Adminer≤4.6.2任意文件读取漏洞详解】 Adminer是一款功能强大的Web数据库管理工具,它支持多种主流数据库系统,如MSSQL、MySQL、Oracle、SQLite和PostgreSQL,与phpMyAdmin类似。由于其轻量级的特性,只需一个...
bagecms V3.1.3 后台任意文件读取漏洞1
08-03
- 然后,`XUtils::b64decode`解码`filename`,并使用`file_get_contents`读取文件内容。 - 最终,这些内容被渲染到页面上供用户查看。 #### 漏洞证明 - **测试步骤**: - 使用管理员账号登录后台。 - 构造恶意...
jeecms万能验证码
12-09
jeecms安装完毕后,找到项目对应的目录,把三个文件进行替换,就可以在注册、登录、留言时免验证码。登录密码错误三次后显示验证码,输入任意数如123就行。注明:jeecms9.2版本已验证通过。
【原创】JEECMS v6~v7任意文件上传漏洞(1)
weixin_34160277的博客
01-19 1837
文章作者:rebeyond 受影响版本:v6~v7 漏洞说明: JEECMS是国内Java版开源网站内容管理系统(java cms、jsp cms)的简称。该系统基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点;采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构。广泛应用于政府(部委和省级政府部门、市、县、乡及委办局)、教...
玩了下JeeCms命令执行漏洞
NilLazy的博客
11-26 6773
第一个站点 首先看了下信息,是管理员权限 (好像这种命令执行漏洞都是administrator权限吧。。。 然后就是看下开没开3389了。。 Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0
jeecms升级shiro漏洞报错处理
l_degege的专栏
06-11 1093
一、问题描述 jeecmsv9中的shiro是1.4.0,存在漏洞,现在升级到1.6.0 1替换lib文件夹下的13个shiro包 2将cipherKey改成动态生成 https://blog.csdn.net/jlq_diligence/article/details/109790614 添加类、修改shiro-context.xml 3重启部署后报错 二、操作 应该缺少类org.owasp.encoder.Encode。 将encoder-1.2.2.jar放到lib下项目启动成功 https://
jeecmsv8 shiro 分析
chenbo19867758的专栏
09-17 271
/jeeadmin/jeecms/login.do 1.后台登录页面,点击登录提交路径
Jenkins 任意文件读取漏洞
最新发布
07-12
这个漏洞发生在jenkins主控台插件管理功能中,攻击者如果能够利用该漏洞,可以构造恶意请求,导致Jenkins服务器从远程或本地文件系统读取未经授权的文件漏洞的原理是由于插件管理界面的一个设计缺陷,使得恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值