漏洞描述 时空智友是一家专注于医药行业信息化解决方案的企业,其ERP系统中存在文件读取漏洞。攻击者可以通过调用 /formservice?service=updater.getStudioFile 接口,利用路径穿越技术读取服务器上的任意文件,从而可能导致敏感信息泄露。
相关漏洞推荐 POC shikongzhiyou-erp-uploadstudiofile-fileupload: 时空智友ERP系统 uploadStudioFile 任意文件上传漏洞 时空智友ERP richclient.openForm XXE漏洞 时空智友企业信息管理系统 /formservice XML 外部实体注入漏洞 时空智友企业流程化管控系统 updater.getStudioFile 任意文件读取漏洞 时空智友企业流程化管控系统 /formservice updater.uploadStudioFile XXE漏洞 时空智友updater.uploadStudioFile任意文件上传漏洞 时空智友企业流程化管控系统 /formservice updater.uploadStudioFile 任意文件上传漏洞 时空智友企业流程化管控系统 /formservice 任意文件上传漏洞 WordPress updater插件跨站脚本漏洞