全程云OA UploadEditorFile 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
FOFA:body="images/yipeoplehover.png"
文件路径:
http://127.0.0.1/OA/upfiles/ArtEditor/20240827/123.asp
原文始发于微信公众号(威零安全实验室):【漏洞复现】全程云OA UploadEditorFile 存在文件上传漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论