漏洞预警 | 飞企互联FE业务协作平台任意文件上传和任意文件读取漏洞

漏洞预警发布时间：2025-01-22 08:00:22 21 浏览

0x00 漏洞编号

0x01 危险等级

0x02 漏洞概述

飞企互联FE业务协作平台是由飞企互联开发的一款企业级业务协作管理平台，旨在通过数字化工具提升企业协作效率，实现业务流程的全方位优化。

0x03 漏洞详情

漏洞类型：任意文件上传

影响：上传恶意脚本

简述：飞企互联FE业务协作平台的/common/common_sort_tree.jsp接口存在任意文件上传漏洞，未经身份验证的攻击者可以通过该漏洞上传恶意脚本文件，从而控制目标服务器。

漏洞类型：任意文件读取

影响：获取敏感信息

简述：飞企互联FE业务协作平台的/servlet/webchat/attachment/1接口存在任意文件读取漏洞，未经身份验证的攻击者可以通过该漏洞读取服务器任意文件，从而获取敏感信息。

0x04 影响版本

0x05 POC状态

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://flyrise.cn/

暂无