金蝶EAS 漏洞列表

金蝶 EAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。金蝶 EAS Cloud 的autoLogin.jsp 路径存在远程代码执行漏洞，攻击者可以利用这个漏洞注入恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。 fofa：app="Kingdee-EAS"

金蝶EAS是一款企业级应用系统，主要用于企业资源计划（ERP）管理。该漏洞存在于/easportal/autoLogin.jsp路径中，攻击者可以通过构造恶意HTTP请求触发代码执行，进而完全控制服务器。该漏洞影响范围广泛，可能涉及企业财务、ERP等关键系统，若公网暴露且未修复，可能对企业业务系统造成严重威胁。

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

金蝶EAS 为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台，帮助企业链接外部产业链上下游，实现信息共享、风险共担，优化生态圈资源配置，构筑产业生态的护城河，同时打通企业内部价值链的数据链条，实现数据不落地，管理无断点，支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控，帮助企业强化核心竞争力。  金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞，未经身份验证的攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。  

金蝶EAS是金蝶公司推出的企业级信息管理软件。它是一个完整的ERP核心系统，集成了金蝶ERP方案中的全部模块，能够从收购付款到财务报表的所有功能。金蝶 EASHandleKinggridServlet 存在认证绕过导致远程代码执行漏洞，攻击者可以通过该漏洞控制整个服务器。

金蝶-EAS存在任意文件读取漏洞，此漏洞是由于 easWebClient 对请求中的参数数据验证不足导致的。

金蝶EAS中存在任意文件读取漏洞，此漏洞是由于未充分验证用户输入pdfviewLocal.jsp的数据所导致的。

/

/

/

/

/

/

/

/

金蝶EAS getenvs.jsp文件可未授权访问造成敏感信息泄露

金蝶EAS 系统 pdfViewLocal 路径存在任意文件读取漏洞。

金蝶EAS是金蝶公司推出的企业级信息管理软件。它是一个完整的ERP核心系统，集成了金蝶ERP方案中的全部模块，能够从收购付款到财务报表的所有功能。金蝶EAS可以帮助企业管理业务流程，提高企业的效率，实现企业管理的智能化和标准化。金蝶EAS存在任意文件读取漏洞，攻击者可以通过该漏洞获取服务器文件内容。

金蝶 EAS Cloud 融合了金蝶苍穹的 gPaaS 功能，是基于云原生架构的平台产品，可以进行容器化部署，具备一切云原生的架构特性，是一款拥有最先进底层架构的平台产品。金蝶 EAS Cloud 存在 jndi 注入漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

金蝶 EAS Cloud 融合了金蝶苍穹的 gPaaS 功能，是基于云原生架构的平台产品，可以进行容器化部署，具备一切云原生的架构特性，是一款拥有最先进底层架构的平台产品。金蝶 EAS Cloud 存在 jndi 注入漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

金蝶EAS是金蝶公司推出的企业级信息管理软件。它是一个完整的ERP核心系统，集成了金蝶ERP方案中的全部模块，能够从收购付款到财务报表的所有功能。金蝶EAS可以帮助企业管理业务流程，提高企业的效率，实现企业管理的智能化和标准化。金蝶EAS存在jndi注入漏洞，攻击者可以通过该漏洞获取数据库敏感信息。

金蝶EAS是金蝶软件推出的一款企业管理软件，全称为金蝶企业资源计划管理软件（Enterprise ApplicationSuite）。金蝶EAS提供了一整套的企业管理解决方案，包括财务管理、人力资源管理、供应链管理、客户关系管理等模块，帮助企业实现信息化管理，提高运营效率和管理水平。金蝶EAS具有灵活性和可扩展性，可根据企业的需求进行定制和扩展，适用于各种规模和行业的企业。金蝶eas存在任意文件上传漏洞，攻击者可以上传恶意文件控制服务器。

金蝶 EAS 及 EAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。金蝶 EAS 及 EAS Cloud 存在远程代码执行漏洞。

jndi注入，可达到命令执行的目的

金蝶 EAS Cloud myUploadFile.do 接口存在任意文件上传漏洞，可导致服务器被非法控制

由于金蝶EAS存在前台文件上传漏洞，未经过身份验证的恶意攻击者通过发送特殊的HTTP请求来上传文件，成功利用此漏洞可获取目标服务器的控制权限。

金蝶EAS是一款十分出色的企业管理软件。其旧版本中使用了旧fastjson依赖，攻击者可构造恶意请求触发fastjson反序列化漏洞，造成远程代码执行，控制服务器。

金蝶-EAS（Kingdee Enterprise Application System）是金蝶软件公司开发和推出的一套企业级管理软件解决方案。它是基于云计算和移动互联网技术构建的一款全面的企业资源管理系统（ERP）。金蝶-EAS easWebClient 存在任意文件读取漏洞，攻击者可读取config.jar等敏感配置文件信息。

金蝶EAS 存在任意文件上传/下载漏洞，攻击者可以上传包含恶意代码的文件，最终执行任意代码

金蝶-EAS是领先的企业管理系统，帮助企业构筑业财资税票档一体化平台，涵盖人力资源管理,税务管理、财务共享、采购管理、库存管理、生产制造等内容。金蝶-EAS easWebClient 存在任意文件读取漏洞，攻击者可读取config.jar等敏感配置文件信息。

未授权访问漏洞是指攻击者未经过身份验证或绕过身份验证机制，就能够访问系统资源或执行敏感操作的安全漏洞。这种漏洞可能导致敏感信息泄露、数据篡改、服务中断等严重后果，给系统安全性带来极大威胁。

kingdee EAS系统 V7.5 /plt_iservice/service/findFavList.action 远程命令执行漏洞

该系统存在任意文件读取漏洞，type参数未过滤最终导致漏洞形成。

金蝶EAS 存在反序列化漏洞

金蝶EAS Cloud基于云计算技术，为大型集团企业提供一体化、智能化的业务解决方案,系统存在参数过滤不严导致可以任意文件下载，攻击者可达到执行命令效果

金蝶EAS系统多个重要文件未设置权限，导致未授权访问，如：/easportal/tools/getenvs.jsp等等，其中内容包括该系统的系统账号密码，可解密后获得系统账号密码

【漏洞对象】金蝶EAS logoImgServlet 【漏洞描述】 金蝶EAS任意文件读取