脸爱云-UpLoadPic-任意文件上传漏洞复现

2024年5月9日12:14:21评论10 views字数 605阅读2分1秒阅读模式

01产品描述

脸爱云一脸通智慧管理平台是一套功能强大、运行稳定、操作简单方便、用户界面美观的一脸通系统。该平台整合了人脸识别技术和智能化解决方案，可以实现识别和管理个体身份，为各种场景提供便捷的身份验证和管理功能。其主要功能包括系统管理中心、人员信息管理中心、设备管理中心、消费管理子系统、订餐管理子系统、水控管理子系统、电控管理子系统、考勤管理子系统、门禁通道管理子系统、会议签到管理子系统、访客管理子系统等。脸爱云一脸通智慧管理平台无需安装，只需在后台配置即可在浏览器登录，可以轻松统计数据，并在安防、门禁、考勤等领域发挥重要作用，提升管理效率和安全性。同时，该平台还提供了便捷的数据分析和管理工具，可以帮助用户更好地了解学生的用餐偏好和消费习惯，为后续的餐饮管理和服务提供更为科学的参考。

02Hunter语法

body="脸爱云" || body="UserSite/index.html" || body="UserSite/index.html" || body="register_machine.html"

03漏洞复现

python3 main.py -f url.txt -p lianaiyun-UpLoadPic-file-upload

脸爱云-UpLoadPic-任意文件上传漏洞复现

04修复建议

1、升级脸爱云至最新版本

2、限制UpLoadPic接口的访问

原文始发于微信公众号（SCA御盾）：【漏洞复现】脸爱云-UpLoadPic-任意文件上传漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

脸爱云-UpLoadPic-任意文件上传漏洞复现

某浏览系统存在延时注入

【漏洞复现】cockpit系统assetsmanager/upload接口存在文件上传漏洞 | 附poc

Weblogic任意文件上传漏洞

【已复现】(CVE-2023-39361)Cacti 未授权SQL注入漏洞

【已复现】致远OA前台任意用户密码修改漏洞

【漏洞复现】Juniper JunOS SRX EX 远程命令执行漏洞 CVE-2023-36844

CVE-2022-47966 SAML RCE

Openfire 身份认证绕过漏洞复现

Alibaba AnyProxy fetchBody 任意文件读取漏洞

发表评论

在线咨询

微信