速达软件任意文件上传漏洞复现

简介

速达软件专注中小企业管理软件,产品涵盖进销存软件,财务软件,ERP软件,CRM系统,项目管理软件,OA系统,仓库管理软件等,是中小企业管理市场的佼佼者,提供产品、技术、服务等信息,百万企业共同选择。速达软件全系产品存在任意文件上传漏洞，未经身份认证得攻击者可以通过此漏洞上传恶意后门文件，执行任意指令，造成服务器失陷。

影响版本

已知受影响版本：

速达A3.cloud BAS、速达A3.cloud STD、速达A30.cloud PRO、

速达3000.online PRO、速达A4.cloud BAS、速达A4.cloud STD、

速达A40.cloud PRO、速达4000.online PRO、速达A5.cloud STD、

速达A50.cloud PRO、速达A70.cloud PRO、速达5000.online PRO、速达7000.online PRO

漏洞复现

FOFA语法：

app="速达软件-公司产品"

访问界面如下所示：

P