文章总结： 友加畅捷管理系统的Attachment.ashx接口存在任意文件读取漏洞。攻击者可利用此漏洞未经授权读取服务器上的敏感文件，如系统配置和数据库文件，导致数据泄露。该漏洞可通过FOFA指纹icon_hash值进行探测。建议用户及时更新系统至最新版本以修复此安全风险。 综合评分： 83 文章分类： 漏洞分析,漏洞预警,WEB安全,漏洞POC,渗透测试

友加畅捷管理系统 Attachment.ashx 任意文件读取漏洞

原创

小橘安全屋

小橘安全屋

2025年11月25日 12:36 湖南

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。如有侵权请联系删除。

漏洞说明：

友加畅捷管理系统是一款专为小微商贸流通企业设计的财务业务一体化管理软件，涵盖进销存、财务、分销及移动管理等多个模块，旨在帮助企业实现高效的业务运营和财务核算。该系统的 Attachment.ashx 接口存在任意文件读取漏洞。攻击者可利用此漏洞，未经授权地读取服务器上的任意文件，包括但不限于系统配置文件和数据库配置文件等敏感信息。 成功利用此漏洞可能导致企业内部敏感数据泄露，对系统的机密性和完整性构成潜在威胁。

漏洞类型：

任意文件读取

漏洞特征：

FOFA：icon_hash="2049187099" || fid="zzt8lL7SUwIIZQXZY6rTSw=="

渗透过程：

通过漏洞特征在FOFA找到目标

通过poc成功访问到敏感信息

修复建议：

及时更新到最新版本

#

查看原文：《友加畅捷管理系统 Attachment.ashx 任意文件读取漏洞》