漏洞描述
node-red是一个低代码开发系统,在代码托管平台有15k的star,node-red-contrib-humagic 3.0.0 受res.sendFile API 中的 hue/assets/..%2F Directory Traversal.in 的影响,在文件 hue-magic.js中使用,以获取任意文件。
node-red-contrib-humagic 3.0.0任意文件读取(CVE-2021-25864)
PoC代码
暂无相关漏洞推荐
- Flowise /api/v1/node-load-method/customMCP 命令执行漏洞(CVE-2025-8943)
- dpanel /api/app/compose/get-from-uri 文件读取漏洞(CVE-2025-53363)
- Fortinet FortiWeb /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi 权限绕过漏洞(CVE-2025-64446/CVE-2025-58034)
- POC CVE-2024-37656: GnuBoard5 5.5.16 - Open Redirect
- Fortinet FortiWeb /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi 权限绕过漏洞(CVE-2025-64446)
- POC CVE-2021-4374: WordPress Automatic Plugin - Unauthenticated Options Change
- POC CVE-2025-51991: XWiki <= 17.3.0 - Server-Side Template Injection (SSTI)
- 美特CRM /common/jsp/upload3.jsp 文件上传漏洞
- 亿赛通电子文档安全管理系统 /CDGServer3/dwr/call/plaincall/JLockSeniorDao.findByLockName.dwr SQL 注入漏洞
- School Fees Payment System /student.php SQL 注入漏洞(CVE-2025-6403)
- EzGED3 /data/showparaphdocs.php 目录遍历漏洞(CVE-2025-51539)
- Agent-Zero /download_work_dir_file 文件读取漏洞(CVE-2025-55523)
- MapTiler-Tileserver-php /tileserver.php/x/1/1/1 目录遍历漏洞(CVE-2025-44137)