[漏洞复现]泛微e-mobile cdnfile文件读取漏洞分析复现

最新推荐文章于 2026-03-29 04:40:16 发布
原创 最新推荐文章于 2026-03-29 04:40:16 发布 · 783 阅读 · 5
标签
#安全 #web安全 #java

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

免责声明

本号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。

漏洞简介

e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。泛微e-mobile为企业提供成熟APP应用库,各应用组件之间通过信息调用实现高效协同。移动应用前台统一展现操作,后台多个系统支持,用户无需切换登陆,即可在移动终端实现 跨平台、跨系统的统一操作。攻击者可通过文件读取漏洞获取敏感信息。

漏洞分析

截取了下相关代码分析。

@GetMapping({"/client/cdnfile/**"})
@ResponseBody
public void getCdnFile(HttpServletRequest request, HttpServletResponse response) throws Exception {
	String servletPath = StringUtils.defaultIfBlank(request.getServletPath(), "");  // 获取请求路径,没有则为空
	if (servletPath.contains("?")) {
		servletPath = servletPath.split("?")[0];
	}  // 判断是否传参,只获取路径部分

	if (servletPath.contains("/cl
最低0.47元/天 解锁文章
LiangYueSec
关注
移动平台e-mobile漏洞利用
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 9190
移动平台e-mobile漏洞利用基本信息 漏洞情报编号:vulbox-intel-15244 是否可自动化组件:是 CVE-ID:暂无 发布日期:2022/04/01 15:48:45 CNNVD-ID:暂无 最新更新时间:2022/04/08 18:02:59 CNVD-ID:CNVD-2017-02376
E-Mobile 6.0存在命令执行漏洞
xiaokp7的博客
07-30 1997
E-Mobile 6.0爆出存在命令执行漏洞的问题。现在已经确认了这个漏洞可以被攻击者利用,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
企业IT必看:e-Mobile文件上传漏洞实战复现与修复指南(附详细截图)
最新发布
weixin_30500105的博客
03-29 383
本文深度解析e-Mobile文件上传漏洞的原理与复现方法,提供详细的漏洞验证步骤和修复指南。针对企业IT人员,文章不仅展示了如何通过Docker快速搭建测试环境进行漏洞复现,还给出了紧急缓解措施和官方补丁升级方案,帮助企业有效防御这一高危漏洞
0day E-Mobile 6.0 存在命令执行
失心少年
08-01 1345
E-Mobile 6.0被爆存在漏洞命令执行。现已确认该漏洞可被攻击者利用,攻击者可通过在输入中添加特殊字符或命令来序列欺骗应用程序将其作为有效命令去执行,从而获取服务器的执行权限。
移动管理平台E-mobile lang2sql接口任意文件上传漏洞
CommputerMac的博客
11-07 8893
e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。e-mobile,由高端OA专业研发,是业内领先的移动OA系统,提供移动审批,移动考勤,移动报表,企业信等丰富办公应用,支持多种平台运行,灵活易用安全性高。
漏洞复现-EMobile存在弱口令漏洞
qq_34780861的博客
03-19 1万+
-EMobile存在默认口令,攻击者可能通过尝试弱口令,非法进入系统,恶意操作或者收集信息进一步攻击利用。
E-Mobile client/cdnfile 任意文件读取漏洞复现
0xSec
09-18 2713
E-Mobile client/cdnfile 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
e-mobile cdnfile 任意文件读取复现
iSee857的博客
09-19 2120
e-mobile遵循以客户为中心,以企业中的事务为导向的出发点,帮助企业构建以员工为核心的移动统一办公平台。e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。厂商已发布补丁请及时修复。
E-Mobile client/cdnfile 任意文件读取漏洞
一个努力学习网安的小牛马
09-20 1652
E-Mobile client/cdnfile 接口存在任意文件读取漏洞,攻击者可以读取系统的敏感文件。本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任。
移动管理平台E-mobile client/cdnfile/接口存在任意文件读取 附POC
nnn2188185的博客
09-23 763
移动管理平台E-mobile client/cdnfile/接口存在任意文件读取
最新漏洞汇总----实时更新!!!
热门推荐
yggcwhat
07-31 1万+
最新漏洞汇总
E-Mobile 6.0远程命令执行漏洞
薛定谔嘚喵博客
08-22 1606
E-Mobile 6.0被爆存在漏洞命令执行。现已确认该漏洞可被攻击者利用,攻击者可通 过在输入中添加特殊字符或命令来序列欺骗应用程序将其作为有效命令去执行,从而获取服 务器的执行权限。
漏洞复现e-Mobile 移动管理平台文件上传漏洞
qq_34780861的博客
04-25 5045
e-Mobile移动管理平台是一款由软件开发的企业移动办公解决方案。它提供了一系列的功能和工具,使企业员工能够通过移动设备随时随地地进行办公和协作。e-Mobile 移动管理平台存在任意文件上传漏洞
漏洞预警】E-mobile v9.5任意文件上传漏洞
李同學AI安全
05-31 5595
E-mobile v9.5 存在任意文件上传漏洞
E-Mobile /client.do 命令执行漏洞复现
0xSec
04-04 3553
E-Mobile存在命令执行漏洞,攻击者可以通过/client.do执行任意命令执行,从而获得服务器权限。
E-Mobile 6.0命令执行漏洞
故事讲予风听
11-10 2302
E-Mobile 6.0存在命令执行漏洞的问题,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
e-Mobile移动管理平台 error 远程命令执行漏洞复现
iSee857的博客
11-01 1637
E-Mobile基于成熟产品e-cology,它将协同OA上的公文、流程、通讯录、日程、文件管理、通知公告等应用扩展到手机移动终端,为用户提供更方便更灵活的移动办公应用。移动OA对突发性事件和紧急性事件的处理有极其高效和出色的支持,是管理者、销售人员等经常有外出办公、出差需求的商务人士的贴心的掌上办公产品,适合于已有内部OA系统的大中型企业机构,尤其是企业或部门有较多的分支机构。Fofa:app="-EMobile"厂商已发布补丁 请即时修复。
E-Mobile 硬编码口令漏洞复现(XVE-2024-28095)
0xSec
09-26 3725
E-Mobile 存在硬编码口令漏洞,未经身份验证的远程攻击者可利用该口令以超级管理员身份登录管理后台,导致网站处于极度不安全状态。
E-Mobile installOperate.do SSRF漏洞复现
0xSec
07-23 3126
E-Mobile installOperate.do 接口处存在服务器请求伪造漏洞,未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行的应用程序发起攻击,获取服务器内部敏感配置,造成信息泄露。
【未公开0day】*-Mobile cdnfile 任意文件读取漏洞【附poc下载】
苏诺木安全团队
10-11 1033
-*Mobile是一款专为移动办公设计的企业级应用,旨在提升组织的工作效率和协同能力。它提供了丰富的功能,如流程审批、日程管理、任务分配和即时通讯,支持多种移动设备和操作系统,确保用户可以随时随地访问和管理工作信息。通过与其他系统的无缝集成,*Mobile帮助企业实现数字化转型,优化业务流程,提高决策效率。其接口cdnfile存在SSRF漏洞,攻击者可通过该漏洞获取系统敏感文件信息。官方已更新补丁,请升级至最新版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值