【1day】某友CRM存在逻辑漏洞+文件读取漏洞 admin 102737文章 87评论 2024年1月3日13:09:55评论74 views字数 508阅读1分41秒阅读模式 师傅们,新年快乐呀!2024年了,不知不觉我们又走过了一年,感谢各位师傅的抬爱,让我有了一直分享下去的勇气,在新的一年愿各位师傅0day多多,工资高高涨,彩票一买就中...... 老样子,师傅们如果有用到该平台的漏洞,要记得及时找厂商进行修复以及做好防护策略,这样子就可以预防一下啦。 一、资产 zoomeye查询语法:app:"用友 U8 CRM" zoomeye查询对于很多大型产品资产来说比较方便,有一个ZoomEye 组件搜索导航,可以快速、准确找到目标资产,感兴趣的师傅可以试试。 二、漏洞复现 1.逻辑漏洞 通过特定POC可以直接读取到敏感信息,利用该敏感信息能有一定几率进入后台。 2.文件读取漏洞 构造特定POC可以直接读取服务器上面的配置文件,利用配置文件泄露信息可以进一步获取到服务器其他权限。 不知道目录的可以使用猜解的方式进行,例如如下所示: 三、POC获取方式 文章只提供思路,如需具体POC请关注公众号并回复关键字【20240103】即可获取POC. 四、总结 继续为我国网络安全事业奋斗! 原文始发于微信公众号(网络安全007):【1day】某友CRM存在逻辑漏洞+文件读取漏洞 点赞 http://cn-sec.com/archives/2359609.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫 逻辑漏洞1day文件读取漏洞网络安全crmzoomeye CVE-2024-23722 CVE-2024-0783 CNVD-2024-06148 CVE-2024-4040|CrushFTP 认证绕过模板注入漏洞(POC) 【漏洞复现】ZenTao(禅道)身份认证绕过漏洞(QVD-2024-15263) (CVE-2024-25648)福昕阅读器 ComboBox 小部件格式事件 UAF 漏洞复现 || SpringBlade dict-biz/list接口SQL注入 漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞 漏洞预警 | JeecgBoot任意文件上传漏洞 漏洞预警 | 若依druid未授权访问漏洞 本文由 admin 发表于 2024年1月3日13:09:55 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出): 【1day】某友CRM存在逻辑漏洞+文件读取漏洞http://cn-sec.com/archives/2359609.html 上一篇 五个技巧改善开发与安全的对立关系 下一篇 零时科技 || 本月钓鱼诈骗事件依旧不减,发生多起单个地址被盗百万美元以上的事件 Forrester:2024年五大网络安全新威胁 四月份68个0day/1day/nday漏洞汇总 Gartner:全球约63%的组织已经实施零信任策略 大多数人仍然依靠记忆或笔和纸来管理密码 发表评论 匿名网友 填写信息 昵称 邮箱 网址 取消 Δ 登录 找回密码 记住我的登录信息 输入用户名或电子邮件 HP 重置密码链接通过邮箱发送给您 目录 在线咨询 13688888888 8888 QQ在线咨询 微信 本页二维码
评论