近日完成了针对金蝶旗下 EAS、ERP 产品所出现过的历史漏洞进行梳理,并完成响应 POC 的编写,并且同步更新文库,每一个 POC 均对应一个文档,用于记录漏洞的复现过程及利用方式,一键检测如图: ...
金蝶EAS任意文件写入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金蝶EAS是金蝶软件公司推出的一套企业级应用软件套件,旨在帮助企业实现全面的管理和业务流程优化。0x03 漏洞详情漏洞类型:文件上传影响:...
金蝶 EAS 反序列化 RCE 漏洞PoC
0x02 漏洞描述 金蝶 EAS 存在反序列化 RCE 漏洞。 0x03 漏洞复现 body="easSessionId" || header="easportal" 1.执行poc构造fastjso...
金蝶EAS /easportal/tools/appUtil.jsp 任意文件上传/下载漏洞
金蝶EAS Cloud为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台,帮助企业链接外部产业链上下游,实现信息共享、风险共担,优化生态圈资源配置,构筑产业生态的护城河,同时打通企业内部价值链的...
X蝶EAS pdfviewlocal任意文件件读取漏洞
产品介绍x蝶EAS Cloud为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台,帮助企业链接外部产业链上下游,实现信息共享、风险共担,优化生态圈资源配置,构筑产业生态的护城河,同时打通企业内部...
金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞 附POC软件
1. 金蝶EAS简介 微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发 金蝶EAS Cloud采购管理系统是专业的采购平台管理系统 2.漏洞描述 金蝶...
某蝶多接口任意文件读取漏洞
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。现在只对常读和星标的公众号才...
【漏洞复现】(1day)金蝶eas-extweb-任意文件读取漏洞复现
0x01 阅读须知 SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对...
记一次从逆向小程序到SQL注入的儿童学习系统的渗透/金蝶eas-extweb任意文件读取(1day)-漏洞挖掘
0X01 前言 在某次攻防演练,某家做儿童学习系统的公司 给的资产只有ip,ip上只有官网。无法获取到什么有用的信息。 末尾领取资料,资源 0X02 漏洞复现 发现目标单位存在一个微信小程序,从微信小...
已发现被用于勒索!金蝶EAS及EAS Cloud远程代码执行漏洞(二次更新)
01 漏洞概况 金蝶EAS及EAS Cloud是金蝶软件公司推出的一套企业级应用软件套件,旨在帮助企业实现全面的管理和业务流程优化。微步漏洞团队通过“X漏洞奖励计划”获取到金蝶EAS及EAS...
某蝶EAS平台myUploadFile接口任意文件上传漏洞复现 CNVD-2023-57598
【网络运维渗透团队已经累计向CNVD提供100+通用漏洞】目录1.漏洞概述2.影响版本3.漏洞等级4.漏洞复现5.Nuclei自动化扫描POC6.修复建议1.漏洞概述 &nb...
金蝶EAS-JNDI注入
存在JNDI注入app_monitor.war/WEB-INF/classes/com/apusic/aasadmin/monitor/web/jndi/JndiController.class构造P...