漏洞描述 EduSoho教培系统classroom-course-statistics接口存在未授权任意文件读取漏洞,通过该漏洞攻击者可以读取到config/parameters.yml文件的内容,拿到该文件中保存的secret值以及数据库账号密码等敏感信息。
相关漏洞推荐 POCCNVD-2023-03903: EduSoho < v22.4.7 - Local File Inclusion 无POCEduSoho系统 app_dev.php 任意文件读取漏洞 无POCEduSoho教培系统app_dev.php的open接口 任意文件读取漏洞 无POCEduSoho 教培系统 open 文件 file 参数文件读取漏洞 无POCedusoho 教培系统 classroom-course-statistics 任意文件读取漏洞(CNVD-2023-03903)