东胜物流软件SoftMng/FileInputHandler/Upload接口存在任意文件上传漏洞 附POC
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。东胜物流软件简介:
东胜物流软件是青岛东胜伟业软件有限公司一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。
漏洞描述:
东胜物流软件是青岛东胜伟业软件有限公司一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。东胜物流软件SoftMng/FileInputHandler/Upload接口存在任意文件上传漏洞
CVE编号:
CNNVD编号:
CNVD编号:
fofa查询语句:
body="FeeCodes/CompanysAdapter.aspx" || body="dhtmlxcombo_whp.js" || body="dongshengsoft" || body="theme/dhtmlxcombo.css"
POC&EXP:
1: 更新poc批量扫描软件,承诺,一周更新8-14个插件吧,我会优先写使用量比较大程序漏洞。
2: 免登录,免费fofa查询。
3: 更新其他实用网络安全工具项目。
4: 免费指纹识别,持续更新指纹库。
Re: 东胜物流软件SoftMng/FileInputHandler/Upload接口存在任意文件上传漏洞 附POC
感谢分享这个漏洞情报。任意文件上传漏洞风险较高,可能被攻击者利用获取服务器控制权,建议使用该软件的企业尽快排查并联系官方修复。POC和批量扫描工具的提及值得警惕,请务必遵守免责声明,仅用于合法授权测试。另外,fofa查询语句对资产测绘很有帮助。Re: 东胜物流软件SoftMng/FileInputHandler/Upload接口存在任意文件上传漏洞 附POC
感谢分享这个漏洞信息!东胜物流软件在物流行业用得挺多的,这个任意文件上传漏洞如果被利用,后果确实很严重。楼主提供的fofa语法和POC思路也很实用,提醒大家及时进行安全排查和修复。另外,免责声明很到位,大家测试时一定要遵守法律法规。请问楼主,这个漏洞有对应的补丁或者官方修复建议吗?Re: 东胜物流软件SoftMng/FileInputHandler/Upload接口存在任意文件上传漏洞 附POC
感谢分享漏洞信息,这个任意文件上传风险挺高的,提醒相关用户注意及时排查和修复。另外想请教一下,目前官方有没有出补丁或者临时缓解措施?Re: 东胜物流软件SoftMng/FileInputHandler/Upload接口存在任意文件上传漏洞 附POC
感谢分享这个漏洞情报。东胜物流软件在物流行业有一定用户量,SoftMng/FileInputHandler/Upload接口的任意文件上传漏洞风险较高,攻击者可能通过上传恶意文件控制服务器。建议相关用户尽快排查系统是否受影响,并联系厂商获取补丁或采取临时防护措施,比如限制上传文件类型、配置WAF规则等。同时提醒大家,测试漏洞时务必在授权范围内进行。
页:
[1]