关键信息 漏洞标题: dromara RuoYi-Vue-Plus 5.4.0 Arbitrary File Read 描述: 在RuoYi-Vue-Plus项目中,MailController类中的 和 端点可以在未认证的情况下访问,并允许攻击者指定任意文件路径作为小附件名。这导致任意文件读取漏洞,可能导致服务器上的敏感文件泄露。 项目链接: https://github.com/dromara/RuoYi-Vue-Plus 受影响版本: 5.4.0 受影响API: 和 代码位置: 来源: https://github.com/EbenxuSec/cve-proofs/blob/main/POC-20258630-01/report.md 提交用户: dromara-user (ID: 63158) 提交时间: 2023-05-03 7:41 PM (UTC+8) 审核时间: 2023-05-03 7 PM (UTC+8) 状态: 已审核 VulDB条目: Dromara RuoYi-Vue Plus 5.4.0 Mail MailController (ava filePath path traversal) 积分: 20