以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞复现
0x01 产品简介
D-Security终端文件保护系统是一套专注于企业文件管理效率与安全的解决方案,统对文件进行全文加密,而非仅在文件表头或特定部分进行加密,从而大大提高了文件的安全性,降低了被破解的风险。D-Security终端文件保护系统是被政府和国安局等情报单位唯一认定的安全文件加密产品。它不仅能够实现内容加密和文件保护,确保企业敏感文件的安全,还遵循商业秘密法的规范,能够完整记录用户存取和交换文件的轨迹,提供文件存取溯源记录。这使得企业能够建立起信息安全治理的改善循环。
0x02 漏洞概述
以柔资讯-D-Security终端文件保护系统 logFileName 存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
0x03 复现环境
FOFA:
title="D-Security" || title="WNJsoft" || title="W&Jsoft"