0day 新接口 金和OA C6 UploadFileDownLoadnew存在任意文件读取漏洞(未公开)_金和oa-c6-uploadfileeditorsave接口存在任意文件上传漏洞

   0x01 阅读须知

        技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

0x02 产品概述

       金和OA协同办公管理系统C6软件共有20多个应用模块，160多个应用子模块，涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围，从功能型的协同办公平台上升到管理型协同管理平台，并不断的更新完善，全面支撑企业发展。

0x03 漏洞描述

        任意文件读取漏洞是一种安全漏洞，通常发生在一个应用程序的功能不够严格，未能正确验证文件的类型和内容。攻击者利用这种漏洞可以上木马，这些文件一旦被上传到服务器，就可以被攻击者远程执行，从而控制或者破坏服务器，窃取数据，或者作为跳板进一步攻击其他系统。

fofa

body="JHSoft.Web.AddMenu" || app="金和网络-金和OA"

0x04 POC利用

早加入早享受,即将涨价到169元！