fofa
body="IDWebSoft/"
一、漏洞简述
某普 EAP 企业适配管理平台是一款专为企业设计的综合管理工具,旨在优化和简化企业内部的信息化管理与适配流程。该平台通过集成多种功能模块,如资源调度、数据分析、流程管理等,帮助企业实现高效的信息流与业务流管理,提高运营效率和决策能力。此外,赛普 EAP 还支持灵活的定制化,能够根据企业特定需求进行调整,确保与现有系统的无缝对接,为企业提供全面的技术支持与服务。其接口Download存在任意文件读取漏洞,攻击者可通过该漏洞获取系统敏感信息。
二、漏洞检测poc
三、漏洞检测脚本
安全测试人员与企业安全运维工作组可通过该脚本进行探测自身服务是否存在此漏洞:
批量检测:
python IDWebSoft_Download_ArbiraryFileRead.py -f url.txt
单个url检测漏洞:
python IDWebSoft_Download_ArbiraryFileRead.py -u url
四、修复
官方已更新补丁,请升级至最新版本。
五、漏洞详情与批量检测脚本在星球中
原文始发于微信公众号(苏诺木安全团队):【Nday】某普EAP企业适配管理平台 Download 任意文件读取漏洞【附poc】
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论