用友ERP-NC系统/NCFindWeb接口任意文件下载

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

该漏洞权限比较大,可以获取数据库,/etc/passwd等信息,漏洞存在链接: http://vul/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml 可以读取到数据库密码,如图: ![](https://images.seebug.org/contribute/fd307ca3-ca9d-414e-b3f8-e5ba4a7b589e-QQ截图20160110214730.png) 也可以读取/etc/passwd,如图: ![](https://images.seebug.org/contribute/568078c0-3ee7-49be-9e99-c1db971c8c78-QQ截图20160110214940.png) 中粮集团,民生电商等大量企业受到影响

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息