用友政务A++-任意文件读取-FileDownload

admin 2024年6月8日23:53:36评论13 views字数 379阅读1分15秒阅读模式

 

0x01 产品简介

用友政务财务系统是一套专门为政府部门和机构设计的财务管理软件,提供全面的财务核算、预算管理、资金管理、票据管理等功能。该系统致力于帮助政府机构提高财务管理效率,提供数据支持和决策参考。

用友政务A++-任意文件读取-FileDownload

0x02 漏洞概述

用友政务财务系统 FileDownload 接口处存在任意文件读取漏洞,恶意攻击者可能会利用此漏洞读取敏感文件,对系统造成危害。

0x03 网络测绘

app="用友-政务财务系统" || body="/df/portal/getYearRgcode.do"

0x04 漏洞复现

用友政务A++-任意文件读取-FileDownload

 

 

0x06 修复建议

1、仅允许访问预先批准的文件路径,并拒绝所有其他路径;

2、仔细验证用户请求的文件路径,确保它指向允许访问的文件;
3、及时应用安全更新和补丁,以修复任何已发现的漏洞。

原文始发于微信公众号(知黑守白):【未公开】用友政务A++-任意文件读取-FileDownload

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月8日23:53:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用友政务A++-任意文件读取-FileDownloadhttps://cn-sec.com/archives/2814600.html

发表评论

匿名网友 填写信息