Pichome 任意文件读取漏洞复现(CVE-2025-1743)
免责申明:
本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
前言:
我们建立了一个更多,更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。
更多详情:
https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X0x01 产品描述:
Pichome 是一款轻量级开源图片管理系统,支持图片上传、分类管理、在线预览及API接口调用,适用于搭建个人或小型团队的私有图库或相册网站,基于PHP或Python等技术栈实现(具体依赖项目版本)。
0x02 漏洞描述:
此漏洞会通过未授权接口的src参数进行路径遍历,从而可以远程发起攻击获取目标系统中的文件数据。
0x03 影响版本:
Pichome 2.1.0
0x04 搜索语句: