(在野0day)某友CRM系统某接口存在任意文件读取(大量资产存在)
2023-12-18 12:7:50 Author: WIN哥学安全(查看原文) 阅读量:35 收藏


阅读须知

亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!

01

漏洞描述

    某友CRM系统是一款综合性的客户关系管理软件,旨在帮助企业建立和维护与客户之间的良好关系。它提供了全面的功能,包括销售管理、市场营销、客户服务和分析报告等。该系统支持多种行业和企业规模,并具有灵活可定制的特点,可以根据企业的需求进行个性化配置。该CRM系统软件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。

02

资产测绘

Hunter语法:app.name="用友 CRM"

03

漏洞复现

04

修复建议

  1. 检查用户输入:在处理用户输入时,应该对输入进行严格的验证和过滤,避免让恶意输入通过应用程序。

  2. 配置文件权限:在服务器上设置文件和目录的权限,确保只有授权的用户才能够读取敏感的文件。

  3. 使用白名单:为了防止攻击者尝试读取任意文件,可以使用白名单机制来限制应用程序可以访问的文件列表。


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247495385&idx=2&sn=9951c2550d488af1b387d585c185323f&chksm=c15527f0ef718bfa6d33adb0722964845c6d0dcaccce772ecd1e1acbca3a51263fda38608e18&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh