内训宝企业培训平台 upload/scorm 任意文件上传漏洞

2025年2月17日21:58:34评论62 views字数 493阅读1分38秒阅读模式

产品简介

内训宝企业培训平台是一款专注于企业内部培训的在线平台，由北京内训宝科技有限公司开发并提供服务。旨在为企业提供全方位、个性化的内部培训解决方案。通过该平台，企业可以轻松地组织和管理内部培训活动，提升员工的专业技能和综合素质，进而增强企业的竞争力。适用于多个行业和领域，包括但不限于企业管理、人力资源、金融行业、医疗行业等。通过该平台，企业可以轻松地组织和管理内部培训活动，提升员工的专业技能和综合素质。同时，平台还提供了一系列个性化的学习体验和数据分析功能，帮助企业更加精准地评估培训效果并优化培训计划。

漏洞概述

内训宝企业培训平台 upload/scorm 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

搜索引擎

FOFA:

icon_hash="-790843908"

漏洞复现

自查工具

nuclei

afrog

xray

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

原文始发于微信公众号（nday POC）：内训宝企业培训平台 upload/scorm 任意文件上传漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

内训宝企业培训平台 upload/scorm 任意文件上传漏洞

【复现】Next.js 中间件认证绕过漏洞（CVE-2025-29927）风险通告

Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)

【已复现】Next.js middleware 权限绕过漏洞(CVE-2025-29927)

XWiki 远程代码执行漏洞｜CVE-2024-31982

next.js 中间件绕过漏洞 CVE-2025-29927

ipTIME未授权访问漏洞

Veeam Backup & Replication反序列化漏洞

EnGenius远程代码执行漏洞

PHP 参数注入漏洞（CVE-2024-4577）遭大规模利用：深入剖析、实战攻击演示与全方位防御指南

WordPress ltl-freight-quotes-estes-edition sql注入(CVE-2024-13488)

发表评论

在线咨询

微信