若依sendMessageWithAttachment 任意文件读取漏洞
若依sendMessageWithAttachment 任意文件读取漏洞
用户11930627
发布于 2026-01-07 18:07:00
发布于 2026-01-07 18:07:00
概述
若依框架的 `sendMessageWithAttachment` 接口存在任意文件读取漏洞,该接口位于 `/demo/mail/sendMessageWithAttachment`,在发送邮件时将 `filePath` 参数指定的文件作为附件。由于未对 `filePath` 进行校验和限制,攻击者可通过该参数读取服务器上的任意文件(如 `/etc/passwd`),且该接口无需身份验证即可访问,
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号