libsys图书管理系统ajax_asyn_link.php文件url参数-任意文件读取漏洞

【漏洞对象】江苏汇文软件有限公司libsys图书管理系统 【漏洞描述】江苏汇文软件有限公司libsys图书管理系统/zplug/ajax_asyn_link.php文件url参数存在任意文件读取漏洞，/zplug/ajax_asyn_link.php?url=../../../../../../../../../../boot.ini还可以轻松读到系统配置文件，配合其它漏洞的综合利用，攻击者可以轻易的获取更高的权限。