金蝶EAS pdfviewlocal 任意文件读取漏洞

最新推荐文章于 2024-04-03 18:17:22 发布

原创

最新推荐文章于 2024-04-03 18:17:22 发布 · 1.2k 阅读

7 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #web安全 #安全

金蝶EAS的数字化平台存在文件读取漏洞，允许未经授权的攻击者访问系统敏感文件。建议企业尽快更新至最新安全版本以保障信息安全。

产品简介

金蝶EAS 为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台，帮助企业链接外部产业链上下游，实现信息共享、风险共担，优化生态圈资源配置，构筑产业生态的护城河，同时打通企业内部价值链的数据链条，实现数据不落地，管理无断点，支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控，帮助企业强化核心竞争力。

漏洞概述

金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞，未经身份验证的攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

指纹识别

fofa:

app="Kingdee-EAS"

漏洞利用

poc:

GET /plt_document/fragments/content/pdfViewLocal.jsp?path=C:/Windows

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

3tefanie

关注关注

16
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

金蝶 EAS及EAS Cloud任意文件上传漏洞复现

0xSec

11-20

1620

金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞，攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。

金蝶云星空任意文件读取漏洞复现（0day）

0xSec

07-31

3076

由于金蝶云星空CommonFileServer接口处权限设置不当，未经身份认证的攻击者可以利用此漏洞访问服务器上的任意文件，包括数据库凭据、API密钥、配置文件等，从而获取系统权限和敏感信息。

参与评论您还未登录，请先登录后发表或查看评论

金蝶云星空RCE漏洞复现

热门推荐

0xSec

06-21

1万+

由于金蝶云星空数据通信默认采用的是二进制数据格式，需要进行序列化与反序列化，在此过程中未对数据进行签名或校验，导致客户端发出的数据可被攻击者恶意篡改，写入包含恶意代码的序列化数据，达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心（默认8000端口），普通应用（默认80端口）也存在类似问题。

金蝶EAS pdfviewlocal任意文件件读取漏洞

Keepb1ue的博客

01-08

2719

金蝶EAS Cloud为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台，帮助企业链接外部产业链上下游，实现信息共享、风险共担，优化生态圈资源配置，构筑产业生态的护城河，同时打通企业内部价值链的数据链条，实现数据不落地，管理无断点，支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控，帮助企业强化核心竞争力。金蝶 EAS Cloud pdfViewLocal.jsp存在任意文件读取漏洞漏洞，攻击者可通过该漏洞在服务器端读取任意敏感文件。

【复现】金蝶EAS系统文件读取漏洞_13

fushuang333的博客

01-09

2446

【复现】金蝶EAS 任意文件读取漏洞，通过提交专门设计的输入，攻击者就可以在被访问的文件系统中读取或写入任意内容，往往能够使攻击者从服务器上获取敏感信息文件，正常读取的文件没有经过校验或者不严格，用户可以控制这个变量读取任意文件。

金蝶EAS pdfviewlocal 任意文件读取漏洞复现

0xSec

01-08

1724

金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞，未经身份验证的攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞附POC软件

nnn2188185的博客

01-08

1144

金蝶EAS pdfviewlocal.jsp接口存在任意文件读取漏洞附POC软件

金蝶EAS_任意文件读取

m0_64366018的博客

01-13

692

可以读取任意文件，这里只做测试，读取C:/Windows/win.ini。

【复现】万户ezoffice协同管理平台 任意文件读取漏洞_30

fushuang333的博客

01-27

797

【复现】万户ezoffice协同管理平台 任意文件读取漏洞，通过提交专门设计的输入，攻击者就可以在被访问的文件系统中读取或写入任意内容

金蝶EAS、EAS Cloud远程代码执行漏洞

hackzkaq的博客

10-13

1157

金蝶 EAS 及 EAS Cloud 存在远程代码执行漏洞。

【漏洞复现】金蝶云星空管理中心反序列化命令执行漏洞(RCE)

李同學的安全圈

07-23

4498

金蝶云星空管理中心是金蝶软件（中国）有限公司基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台，帮助企业实现数字化营销新生态及管理重构等，提升企业数字化能力。该软件存在远程命令执行漏洞，外部攻击者可通过使用恶意攻击手段对目标系统进行权限获取，进而接管服务器控制权。

【漏洞复现】金蝶EAS、EAS Cloud远程代码执行漏洞

2301_80127209的博客

04-03

1878

金蝶 EAS 及 EAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。金蝶 EAS 及 EAS Cloud 存在远程代码执行漏洞。

【漏洞复现】金蝶 EAS createdatasource jndi 远程代码执行漏洞

最新发布

qq_67810151的博客

04-03

813

金蝶 EAS 存在JNDI注入漏洞，未授权的攻击者可以通过该漏洞进行远程代码执行，导致服务器被控制。

金蝶协同办公平台任意文件下载漏洞（无需登录）

weixin_50464560的博客

08-30

3730

直接访问即可下载该文件了，保存的文件名为：file.txt。很明显的任意文件下载漏洞，随便在网上找一个实例进行证明。经测试发现，该系统存在任意文件下载，且无需登录。

金蝶 Apusic 任意文件上传漏洞复现

故事讲予风听

12-08

2506

金蝶 Apusic 是金蝶集团旗下的一款企业级应用服务器，专为企业提供可靠、高性能的应用运行环境。Apusic 支持 Java、.NET、Node.js 等多种开发语言和技术，可以用于构建各种企业级应用，如企业资源计划 (ERP) 系统、客户关系管理 (CRM) 系统、供应链管理系统等。

某蝶EAS（Enterprise Application Suite）平台myUploadFile接口任意文件上传漏洞复现 CNVD-2023-57598

afei001

10-17

914

某蝶EAS（Enterprise Application Suite）是金某集团开发的一套企业级应用软件解决方案。它是一款集成化的企业管理软件，旨在帮助企业实现业务流程的数字化、自动化和优化。金蝶EAS提供了多个功能模块，涵盖了企业的各个方面，包括财务管理、人力资源管理、供应链管理、生产制造管理、销售与客户关系管理、项目管理等。这些模块可以根据企业的需求进行灵活的配置和定制，以满足不同行业和规模企业的管理需求。某蝶EAS平台myUploadFile接口存在任意文件上传漏洞，攻击者可利用该

金蝶云星空 CommonFileServer 任意文件读取漏洞复现

故事讲予风听

11-14

1697

金蝶云星空V7.X、V8.X所有私有云和混合云版本存在一个通用漏洞，攻击者可利用此漏洞获取服务器上的任意文件，包括数据库凭据、API密钥、配置文件等，从而获取系统权限和敏感信息。

网络安全-kkFileViews任意文件读取漏洞原理解析

weixin_39445116的博客

02-04

5159

在学习的过程中，了解到kkFileView存在任意文件读取、SSRF、文件上传漏洞。为了更深刻的理解其原理，我从git拉取了项目，由于该漏洞在最新版本已经修复，所以这只是历史版本中存在的。写这篇文章来提醒自己代码中容易出问题的地方。

金蝶eas文件上传漏洞

10-13

关于金蝶eas文件上传漏洞，我可以提供一些基本信息。该漏洞是指攻击者可以通过上传恶意文件来执行任意代码，从而获取系统权限。这个漏洞存在于金蝶eas的文件上传功能中，攻击者可以通过构造特定的上传请求来绕过文件...