金和 OA /c6/JHSoft.Web.CustomQuery/FileDownLoad.aspx 文件读取漏洞
文件读取2024-05-17
影响软件
金和 OA
CWE
CWE-22
CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
漏洞描述
漏洞概述:金和 OA 系统 /c6/JHSoft.Web.CustomQuery/FileDownLoad.aspx 接口存在文件读取漏洞。 影响范围:攻击者可读取系统配置文件,获取敏感信息。 利用条件:需访问该接口并构造包含 filepath 参数的请求。 修复建议:对 filepath 参数进行路径校验,限制可读取目录。 参考链接:https://rss.biu.life/ti/%E9%87%91%E5%92COA%20/c6/JHSoft.Web.CustomQuery/FileDownLoad.aspx%20%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。