地大信息-基础信息平台 GetImg 任意文件读取漏洞

admin 2024年9月26日13:05:59评论47 views字数 417阅读1分23秒阅读模式
 

00产品简介
地大信息的基础信息平台,通过整合各类空间基础数据,包括地理、地质、气象等多源信息,构建了一个空-天-地一体化的自然灾害监测物联网和时空感知大数据平台。该平台不仅支持数据的集成、管理和共享,还提供了丰富的数据分析和应用服务,为政府决策、行业监管和公众服务提供有力支持。

01漏洞概述
地大信息-基础信息平台 GetImg 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

02搜索引擎
FOFA: 
body="/SystemManage/BaseProject" || title=="基础信息平台"

地大信息-基础信息平台 GetImg 任意文件读取漏洞

03
漏洞复现

地大信息-基础信息平台 GetImg 任意文件读取漏洞

04检测工具

nuclei

地大信息-基础信息平台 GetImg 任意文件读取漏洞

afrog

地大信息-基础信息平台 GetImg 任意文件读取漏洞

xray

地大信息-基础信息平台 GetImg 任意文件读取漏洞

05
修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

06

原文始发于微信公众号(nday POC):【漏洞复现】地大信息-基础信息平台 GetImg 任意文件读取漏洞

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月26日13:05:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   地大信息-基础信息平台 GetImg 任意文件读取漏洞https://cn-sec.com/archives/3209413.html

发表评论

匿名网友 填写信息