Ⅰ、漏洞描述
真内控国产化开发平台是指政府推动的国产化软件和信息系统的开发计划,以减少对外国技术的依赖,提高国家信息安全和自主创新能力。该平台的主要目标是推动国产化操作系统、数据库、办公软件、网络安全产品等核心技术的研发和应用,旨在建立一个自主可控、安全可靠的信息化体系。
真内控国产化开发平台 preview 接口处存在任意文件读取漏洞,恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如客户记录、财务数据或源代码,导致数据泄露。
Ⅱ、FOFA语句
body="js/npm.echarts.js"Ⅲ、漏洞复现
1、执行命令
Ⅳ、Nuclei-POC
Ⅴ、修复建议
1、仅允许访问预先批准的文件路径,并拒绝所有其他路径;
2、仔细验证用户请求的文件路径,确保它指向允许访问的文件;
3、及时应用安全更新和补丁,以修复任何已发现的漏洞。
原文始发于微信公众号(伟大航路D):【漏洞复现】真内控国产化开发平台 preview 接口处存在任意文件读取漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论