漏洞描述
畅捷通T+是畅捷通公司推出的一款企业管理软件,其/ajaxpro/ASP.sm_setupaccount_versionupdate_selectbackupfileonserver_aspx,App_Web_selectbackupfileonserver.aspx.1cbd2a00.ashx接口的LoadTreeNode方法存在目录遍历漏洞。由于应用未对用户传入的backpath参数进行严格的路径校验和过滤,攻击者可通过构造恶意的路径参数,遍历服务器任意目录并读取敏感文件内容,导致服务器敏感信息泄露。