Docmosis Tornado fetch 文件 filename 参数文件读取漏洞(CVE-2023-25265)

日期: 2024-02-28 | 影响软件: Docmosis Tornado | POC: 否

漏洞描述

Docmosis 是中国龙卷风科技(Tornado)社区的一个 Web 框架和异步网络库。Docmosis Tornado2.9.5之前版本存在安全漏洞,该漏洞源于 com.docmosis.webserver.servlet.FetchTmp.doGet存在目录遍历漏洞,攻击者可配合身份验证绕过漏洞读取系统上任意文件,进一步控制系统。

PoC代码

暂无

相关漏洞推荐