漏洞描述
佳会视频会议是由杭州叁体网络科技有限公司开发的一款线上视频会议软件,叁体·佳会3.0是业内首家兼容HTML5/WebRTC技术的网络会议产品,无需下载任何客户端与插件,即可开启视频会议,无需下载插件即可分享屏幕,甚至只需要用微信/QQ扫描二维码,就能加入视频会议。其attachment接口存在任意文件读取漏洞,未经身份认证恶意攻击者可以读取系统重要文件(如系统配置文件、数据库配置文件)等等。
佳会视频会议 /attachment 任意文件读取漏洞
PoC代码
暂无相关漏洞推荐
- 大华DSS数字监控系统 /portal/attachment_downloadAtt.action 文件读取漏洞
- 大华 DSS 数字监控系统 /portal/attachment_getAttList.action SQL 注入漏洞
- 蓝凌OA /sys/attachment/sys_att_main/jg_service.jsp 文件上传漏洞
- 佳会视频会议 /attachment 文件读取漏洞
- 大华-DSS /portal/attachment_clearTempFile.action SQL 注入漏洞
- 佳会视频会议 attachment 任意文件读取漏洞
- 用友 U8 Cloud u8cloud/api/hr/attachment/upload SQL注入漏洞
- 佳会会议系统 attachment 存在任意文件下载漏洞
- 大华DSS平安城市 /itc/attachment_downloadAtt.action 任意文件读取漏洞
- 佳会会议系统 upload_file存在远程命令执行漏洞
- 佳会会议系统 search_outgoing_devices存在SQL注入漏洞
- 泛微E-Office /eoffice10/server/public/api/attachment/atuh-file 代码执行漏洞
- 用友NCCloud /attachment/uploadChunk 接口存在任意文件上传漏洞