用友政务A++-任意文件读取-FileDownload

2024年6月8日23:53:36评论38 views字数 379阅读1分15秒阅读模式

0x01 产品简介

用友政务财务系统是一套专门为政府部门和机构设计的财务管理软件，提供全面的财务核算、预算管理、资金管理、票据管理等功能。该系统致力于帮助政府机构提高财务管理效率，提供数据支持和决策参考。

用友政务财务系统 FileDownload 接口处存在任意文件读取漏洞，恶意攻击者可能会利用此漏洞读取敏感文件，对系统造成危害。

0x03 网络测绘

app="用友-政务财务系统" || body="/df/portal/getYearRgcode.do"

用友政务A++-任意文件读取-FileDownload

0x06 修复建议

1、仅允许访问预先批准的文件路径，并拒绝所有其他路径；

2、仔细验证用户请求的文件路径，确保它指向允许访问的文件；

3、及时应用安全更新和补丁，以修复任何已发现的漏洞。

原文始发于微信公众号（知黑守白）：【未公开】用友政务A++-任意文件读取-FileDownload

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2024年6月8日23:53:36
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
用友政务A++-任意文件读取-FileDownloadhttps://cn-sec.com/archives/2814600.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.