0x01 产品简介
用友政务财务系统是一套专门为政府部门和机构设计的财务管理软件,提供全面的财务核算、预算管理、资金管理、票据管理等功能。该系统致力于帮助政府机构提高财务管理效率,提供数据支持和决策参考。
0x02 漏洞概述
用友政务财务系统 FileDownload 接口处存在任意文件读取漏洞,恶意攻击者可能会利用此漏洞读取敏感文件,对系统造成危害。
0x03 网络测绘
app="用友-政务财务系统" || body="/df/portal/getYearRgcode.do"0x04 漏洞复现
1、仅允许访问预先批准的文件路径,并拒绝所有其他路径;
原文始发于微信公众号(知黑守白):【未公开】用友政务A++-任意文件读取-FileDownload
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论