关键漏洞信息 漏洞概述 软件类型: Web App 软件名称: Vvweb 受影响版本: 1.0.5 软件供应商: Vvweb 软件链接: https://github.com/givanz/Vvweb 严重性: 低 CVSS评分: 3.5 CVE链接: 待定 受影响资产: 163+ 发现日期: 2025年1月3日 PoC利用: N/A 描述 Vvweb 1.0.5版本中的 端点存在文件读取漏洞。该漏洞允许读取旧的Vvweb文件,这些文件之前被较旧版本使用。当前严重性较低,因为无法读取敏感文件。 复现步骤 1. 以编辑者或具有“编辑网站”功能的用户身份登录。 2. 打开以下端点: - 3. 将路径更改为: - 4. 这将允许打开位于以下服务器路径的文件: - 通过搜索在 中找到的关键字,可以找到包含以下文件的目录: PoC概念验证视频 页面底部提供了一个概念验证视频,演示了漏洞的复现过程。