Node-RED ui_base 任意文件读取漏洞 CVE-2021-3223 # 0X001前言 Node RED是一个编程工具,用于以新的、有趣的方式连接硬件设备、api和在线服务。 它提供了一个基于浏览器的编辑器,可以使用调色板中的各种节点轻松地将流连接在一起,这些节点可以通过一次单击就部署到其运行时。 0X002 漏洞影响 泄露用户名密码和读取服务器敏感数据 0X003 漏洞原理 Node-RED 在/nodes/ui_base.js中,URL与’/ui_base/js/*'匹配,然后传递给path.join, 缺乏对最终路径的验证会导致路径遍历漏洞,可以利用这个漏洞读取服务器上的敏感数据,比如settings.js /ui_base/js/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd 得到文件 目录泄露
|