qiwen-file 未授权访问网盘文件

·

1 min read

该漏洞允许攻击者未经授权在线查看其他账号下的docx、html、txt等文件内容。

Payload:http://*.*.*.*/onlyoffice?userFileId=${userFileId}&ot=detail

需要注册一个账号,然后上传一个docx类型文件,点击进入在线查看,通过修改url中的userFileId参数可以查看未经授权的文件内容。

安全建议

  • 严格的权限控制