kkFileview存在任意文件读取漏洞
一、漏洞简介
Keking KkFileview是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等。kkFileview存在任意文件读取漏洞,攻击者可通过该漏洞获取服务器敏感信息。
二、影响版本
- kkFileview
三、资产测绘
- hunter
app.name="kkFileView" - 特征
四、漏洞复现
/getCorsFile?urlPath=file:///