魔方网表ERP mailupdate.jsp 任意文件上传漏洞

2025年3月10日23:13:50评论64 views字数 427阅读1分25秒阅读模式

产品简介

魔方网表ERP是一款高效、灵活的企业资源规划解决方案，旨在帮助企业实现数字化转型，消除信息孤岛，打造全程一体化的管理体系。魔方网表ERP拥有强大的表单功能和模块化的产品特点，使得企业可以根据自身业务需求，通过简单的拖拽和配置，快速搭建符合自身特点的复杂业务管理系统。同时，魔方网表ERP能够无缝对接外部系统，打破信息壁垒，实现业务跨部门间并行协作，提高工作效率。

漏洞概述

魔方网表ERP mailupdate.jsp 接口存在文件上传漏洞，未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

搜索引擎

FOFA:

icon_hash="694014318"

漏洞复现

自查工具

nuclei

afrog

xray

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

原文始发于微信公众号（nday POC）：魔方网表ERP mailupdate.jsp 任意文件上传漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

魔方网表ERP mailupdate.jsp 任意文件上传漏洞

漏洞复现 || Vite import存在任意文件读取漏洞

Argo Events权限管理不当漏洞

Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)

Apache Roller 漏洞让攻击者获得未经授权的访问

Oracle E-Business Suite远程代码执行漏洞（CVE-2025-30727）

Apache Roller 未经授权的访问漏洞

Gladinet漏洞CVE-2025-30406遭在野利用

安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞

Microsoft Edge信息泄露漏洞(CVE-2025-29834)

【已复现】Gladinet CentreStack & Triofox 远程RCE漏洞（CVE-2025-30406）

发表评论

在线咨询

微信