Spring Cloud Config 目录遍历 (CVE-2019-3799)
| ID: | 16847 |
|---|---|
| 标题: | Spring Cloud Config 目录遍历 (CVE-2019-3799) |
| 描述: | Spring Cloud Config 目录遍历 (CVE-2019-3799) vulfocus/spring-cve_2019_3799:latest Spring是一个Java/Java EE/.NET的分层应用程序框架。它是一个基于IOC和AOP构架多层J2EE系统的开源框架,模块化好且实现了很优雅的MVC,对不同的数据访问技术提供了统一的接口。此外它采用的IOC可以很容易的实现Bean的装配,提供的AOP简洁易用并据此实现了Transaction Management等功能。 由于spring-cloud-config-server模块未对传入路径进行安全限制,攻击者可以利用多个..%252f进行目录遍历,查看服务器其他路径的敏感文件,造成敏感信息泄露。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | 无 |
| writeup: |
https://blog.csdn.net/qq_53079406/article/details/127338393 验证后的网址 3提供了完整的漏洞复现过程,明确指出在vulfocus平台(123.58.224.8:43117)上测试CVE-2019-3799漏洞的具体方法,包含双重URL编码(..%252f)的构造示例及/etc/passwd文件读取的POC验证步骤。文章内容与用户需求完全匹配,且链接可直接访问无跳转。 |