免责声明：文章来源互联网收集整理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

                                                                                                                                              

Ⅰ、漏洞描述

润乾报表平台是一种用于生成、管理和分析财务报表的软件平台。它通常用于企业内部或者财务机构，帮助用户从各种数据源中提取数据，然后将其整理成易于理解和分析的财务报表。这些报表可以包括资产负债表、利润表、现金流量表等，可以帮助企业管理者做出更加明智的商业决策。通过润乾报表平台，用户可以快速地生成标准化的报表，提高了报表的准确性和可靠性，同时也提高了工作效率。

润乾报表平台InputServlet接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件，例如后门、木马或勒索软件，以获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。

Ⅱ、fofa语句

body="润乾报表"

Ⅲ、漏洞复现

1、发送数据包上传文件

2、访问上传文件

Ⅳ、Nuclei-POC

Ⅴ、修复建议

1、仅允许访问预先批准的文件路径，并拒绝所有其他路径；

2、仔细验证用户请求的文件路径，确保它指向允许访问的文件；

3、及时应用安全更新和补丁，以修复任何已发现的漏洞。

漏洞详情及批量检测POC请前往圈子获取 

 圈子名称：ONEPIECE

 

圈子福利：每天更新最新漏洞情报1~2篇不等，不定时发放现金红包10-30元不等。

 

交流群