金蝶云星空 CommonFileServer 漏洞曝光：任意文件读取[附POC]”

产品简介:

金蝶云星空专注于为大中型企业提供开放的 ERP 云平台，强调多组织、多利润中心，以 “开放、标准、社交” 为数字经济时代企业提供支持。服务范围包括财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务等，助力企业实现数字化营销新生态及管理重构，全面提升数字化能力。

漏洞描述:

金蝶云星空V7.X、V8.X的所有私有云和混合云版本中存在一处通用漏洞，攻击者可利用该漏洞获取服务器上的任意文件，包括但不限于数据库凭据、API密钥、配置文件等，进而获取系统权限和敏感信息。这是一种任意文件读取漏洞，允许攻击者绕过访问控制进行文件读取。

FOFA检索语句:

makefileCopy code

app="金蝶云星空-管理中心"

漏洞复现:

检测POC:

单个检测：

批量检测：

脚本获取方式：

隐藏内容，输入密码后查看

提交