科荣AIO管理系统 /ReportServlet getFileList 目录遍历漏洞

影响产品：科荣AIO管理系统 CVSS：6.5 漏洞类型：目录遍历 漏洞描述： Koron AIO是一款企业级综合管理系统，提供办公自动化、业务流程管理、数据统计分析等功能。Koron AIO Management System /ReportServlet 接口存在目录遍历漏洞，攻击者可通过path参数遍历服务器目录结构，获取敏感文件列表。 影响： Koron AIO Management System存在目录遍历漏洞。攻击者可利用该漏洞遍历服务器目录结构，获取敏感文件列表，可能导致信息泄露。 修复建议： 1、过滤用户输入中的 ../ 等路径穿越字符。2、使用白名单验证文件路径。3、使用 basename() 等函数处理文件名。4、限制文件访问范围，禁止访问敏感目录。 FOFA： body="changeAccount(varAccount)" || (body="KoronCom.TrustedSites" && body="/login.jsp")