漏洞描述
智游宝是电子票务交易的一个核心环节,是在电子票务交易中负责验票码的生成、编码、发码、验码、管理,以及签发数字证书、确认用户身份等网上电子交易安全服务,是连接景区与分销商的公正、权威、可信的第三方服务平台。智游宝不仅能为景区快速对接各大旅游电商平台,实现游客免排队换票,直接刷二维码或二代证入园,提升网站票务预订电子化水平,提高票务销售量。浙江深大智能科技有限公司管控平台服务端UploadFile存在任意文件上传漏洞,攻击者可通过文件上传点上传任意文件,包括网站后门文件(webshell)控制整个网站。