基本信息

平台编号： POC-2023-85764 影响厂商： 信呼 厂商官网： http://www.rockoa.com/ 组件分类： 办公/财务系统 漏洞类别： 目录遍历 风险等级： 中危 CVSS 3.X： 待分析 是否有POC： 是 CVE 编号： N/A CNVD 编号： N/A EZ 是否支持： EZ 不支持 提交时间： 2023-12-12 访问次数： 989

漏洞描述

信呼OA beifenAction.php文件中调用了 getfilerows方法，导致了目录遍历漏洞，攻击者通过漏洞可以获取服务器上的文件信息

影响范围

信呼OA <= 2.3.2

漏洞详情

存在漏洞的文件为 webmain/system/beifen/beifenAction.php查看 getfilerows()`方法，在 include/chajian/fileChajian.php该方法遍历目录下的文件名并输出，登录后，发送请求包

POC 代码

游客没有权限查看 POC，请登录后查看！

加固建议

目前官方已发布安全版本修复此漏洞，建议用户及时升级更新：http://www.rockoa.com/index.html

参考来源

暂无数据