高危
用友TurboCRM /ajax/getemaildata.php 任意文件下载漏洞
披露时间:
2023-08-12
更新时间:
2025-02-10
CT 编号
CT-838431
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
文件读取
漏洞评分
7.5
漏洞描述
用友TurboCRM /getemaildata.php 路径存在任意文件下载漏洞
漏洞危害
1、窃取敏感信息:攻击者可以通过下载文件获取网站或应用程序上存储的敏感信息,例如用户账户、密码、银行账户信息、个人隐私等。
2、攻击服务器:攻击者可以下载与服务器有关的文件,例如配置文件、密码文件、证书、证书密钥等,这可能导致攻击者进一步攻击服务器或获取更多的信息。
3、窃取知识产权:攻击者可以通过下载机密文件窃取网站或应用程序的知识产权或其他重要信息,例如源代码、设计文档等。
修复方法
一、升级修复方案:
厂商已发布安全修复版本,请及时联系官方售后或客服升级至最新版本,官网地址:
https://www.yonyou.com/
二、临时缓解措施
1、在不影响业务的情况下配置URL访问控制策略
2、如非必要,避免将资产直接暴露在互联网
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
POC 披露
2023-08-12
漏洞披露
2023-08-12
漏洞信息更新
2025-02-10
