Druid CVE-2021-36749
背景:
由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。
漏洞编号:
CVE-2021-36749
影响版本:
复现步骤:
1,打开漏洞环境vulfocus
2,主界面依次点击,Load data > HTTP(s) > Connect Data > URIs
3,利用file://协议进行读取
4,得到flag