背景：
由于用户指定 HTTP InputSource 没有做出限制，可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下，构造恶意请求执行文件读取，最终造成服务器敏感性信息泄露。

漏洞编号：
CVE-2021-36749

影响版本：

复现步骤：
1，打开漏洞环境vulfocus

2，主界面依次点击，Load data > HTTP(s) > Connect Data > URIs >

3，利用file://协议进行读取

4，得到flag