超级会员免费看
本文介绍了用友移动系统管理中存在的一处任意文件读取漏洞,详细阐述了漏洞概述、复现环境、复现步骤以及检测规则POC的编写,并给出了相应的修复建议,以防止敏感信息泄露。
产品简介
用友移动系统管理时用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。
漏洞概述
用友移动管理系 download接口存在一个任意文件读取漏洞,攻击者可通过构造静心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。利用此漏洞,攻击者能获得系统内的敏感信息,导致潜在的信息泄露风险。
复现环境
fofa语句
app="用友-移动系统管理" || 'title="Login" && body="移动系统管理"' || body="../js/jslib/jquery.blockUI.js"
漏洞复现
Poc
GET /mobsm/common/download?path=
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
