MJJ出征
哪吒探针Nezha Dashboard 出现严重路径遍历路径穿越漏洞(GHSA-5c25-7vpj-9mqh) Dashboard 的 NoRoute 处理程序(fallbackToFrontend)使用 strings.HasPrefix(c.Request.URL.Path, "/dashboard") 来判断是否为前端静态资源请求。该判断是字符串前缀匹配而非路径段匹配,导致 /dashboard../xxx 也能绕过。 后续通过 strings.TrimPrefix + path.Join 处理路径时,..…
NodeSeek
找到了哪吒面板漏洞!!!
紧接上贴,上贴说看见有人想查我哪吒面板管理员的密码,这不是重点!!!这只是有人想通过登录接口来爆破我的密码而已!整整要命的是这个,https://你的域名/dashboard../data/config.yaml访问这个路径可以直接获取到你的管理员加密token和服务器token!!!如下图所示,信息太敏感了,我只
❤1🍾1