漏洞描述 Go-fastdfs 的 GetClientIp 方法存在 X-Forwarded-For (XFF) 头绕过漏洞,攻击者可以通过伪造 XFF 头,绕过接口调用限制,未授权调用接口,获取配置文件等敏感信息,甚至执行修改配置文件等操作。
相关漏洞推荐 POC CVE-2023-1800: Go-fastdfs upload 任意文件上传漏洞 POC go-fastdfs-unauth: Go-fastdfs GetClientIp 未授权访问漏洞 Go-fastdfs CVE-2023-1800 任意文件上传漏洞 Go-fastdfs 未授权访问漏洞