时空智友ERP 漏洞列表

时空智友ERP系统updater.uploadStudioFile存在任意文件上传漏洞，攻击者可利用该漏洞上传恶意软件，获取对服务器的远程访问权限或者破坏系统。 FOFA：body="login.jsp?login=null"

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

时空智友是一家专注于医药行业信息化解决方案的企业，其ERP系统中存在文件读取漏洞。攻击者可以通过调用 /formservice?service=updater.getStudioFile 接口，利用路径穿越技术读取服务器上的任意文件，从而可能导致敏感信息泄露。