文章总结： 文档披露深科特LEANMES系统的MesATEApi.asmx接口存在任意文件上传漏洞，可导致远程代码执行。漏洞因接口未对上传文件进行严格校验，攻击者可上传恶意脚本控制服务器。影响版本为深科特LEANMES系统，可通过Fofa语法app=’SKTMAX-LEAN-MES’进行资产测绘。文档提供了漏洞复现方法及POC获取途径，并建议用户关注厂商动态及时升级至安全版本。 综合评分： 68 文章分类： 漏洞预警,WEB安全,渗透测试,漏洞POC,漏洞分析

【已复现】深科特LEAN MES系统的MesATEApi.asmx接口存在任意文件上传漏洞

原创

蟑螂恶霸 蟑螂恶霸

momo安全

2026年2月27日 08:51 广东

免责声明

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动，由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果均与文章作者及本账号无关，本次测试仅供学习使用。如有内容争议或侵权，请及时私信我们！我们会立即删除并致歉。谢谢！

一、漏洞描述

深科特LEAN MES系统的MesATEApi.asmx接口存在任意文件上传致远程代码执行（RCE）漏洞，该漏洞因接口未对用户上传文件进行严格校验与过滤，使得攻击者可绕过安全机制上传含恶意代码的文件（如恶意脚本）。

二、影响版本

深科特LEAN MES系统

三、Fofa语法

app=”SKTMAX-LEAN-MES”

四、漏洞复现

nuclei.exe -l urls.txt -t 深科特rce.yaml

五、漏洞修复

关注厂商动态，及时升级至安全版本

六、漏洞脚本下载

poc:

访问www.momosec.cn 搜索深科特 获取 poc

七、技术服务推广

✅Cn*d🀄️高提交到个人账户上，CNNVD中高 漏洞及一般、重要情报 支撑单位均可协助获得

✅CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等全网最低价。ISO27001、ITss服务项目经理报名等下证即可，可对公，可开专普票

✅需要私聊联系~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：momo安全 蟑螂恶霸 蟑螂恶霸《【已复现】深科特LEAN MES系统的MesATEApi.asmx接口存在任意文件上传漏洞》