唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

admin 2024年9月24日12:44:42评论18 views字数 486阅读1分37秒阅读模式
 

00
产品简介
唯徳知识产权管理系统,由深圳市唯德科创信息有限公司精心打造,旨在为企业及代理机构提供全方位、高效、安全的知识产权管理解决方案。该系统集成了专利、商标、版权等知识产权的全面管理功能,并通过云平台实现远程在线办公,提升工作效率。是一款集知识产权申请、管理、维护、分析于一体的综合性管理平台。它覆盖了从项目挖掘、提案评审、案件管理、代理协同、费用管理到期限管理等各个环节,实现了知识产权业务的全流程电子化、智能化管理。

01
漏洞概述
唯徳知识产权管理系统 /AutoUpdate/WSFM.asmx 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

02
搜索引擎
FOFA: 
body="JSCOMM/language.js"

唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

03
漏洞复现

唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

04
检测工具

nuclei

唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

afrog

唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

xray

唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

05
修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

06

原文始发于微信公众号(nday POC):【漏洞复现】唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月24日12:44:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   唯徳知识产权管理系统 UploadFileWordTemplate 任意文件上传漏洞http://cn-sec.com/archives/3202273.html

发表评论

匿名网友 填写信息