0x00 漏洞编号

• 暂无

0x01 危险等级

• 高危
  

0x02 漏洞概述

I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统，如文本文档、电子表格、演示文稿、PDF文件等。

0x03 漏洞详情

漏洞类型：任意文件读取

影响：获取敏感信息

简述：I Doc View的/doc/upload接口处存在任意文件读取漏洞，未授权的攻击者可以利用此接口并携带默认token读取服务器敏感文件信息，使系统处于极度不安全的状态。

0x04 影响版本

• 未知

0x05 POC

https://github.com/wy876/POC/blob/d32f7fa15a779ac2032233799de698eb1c74b4d8/iDocView%20upload%E6%8E%A5%E5%8F%A3%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96.md

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.idocv.com/

原文始发于微信公众号（浅安安全）：漏洞预警 | I Doc View文件读取漏洞