本文介绍了速达软件多个版本存在的任意文件上传漏洞,攻击者可未认证上传恶意文件,执行任意指令,导致服务器安全风险。详细复现过程包括受影响版本、FOFA搜索语法、POC演示及漏洞利用步骤。
简介
速达软件专注中小企业管理软件,产品涵盖进销存软件,财务软件,ERP软件,CRM系统,项目管理软件,OA系统,仓库管理软件等,是中小企业管理市场的佼佼者,提供产品、技术、服务等信息,百万企业共同选择。速达软件全系产品存在任意文件上传漏洞,未经身份认证得攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。
影响版本
已知受影响版本:
速达A3.cloud BAS、速达A3.cloud STD、速达A30.cloud PRO、
速达3000.online PRO、速达A4.cloud BAS、速达A4.cloud STD、
速达A40.cloud PRO、速达4000.online PRO、速达A5.cloud STD、
速达A50.cloud PRO、速达A70.cloud PRO、速达5000.online PRO、速达7000.online PRO
漏洞复现
FOFA语法:
app="速达软件-公司产品"
访问界面如下所示:
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
