© 2026 LinearBytes Inc.
Search posts, tags, users, and pages
SomUrim
Good!
该漏洞允许攻击者未经授权在线查看其他账号下的docx、html、txt等文件内容。 Payload:http://*.*.*.*/onlyoffice?userFileId=${userFileId}&ot=detail 需要注册一个账号,然后上传一个docx类型文件,点击进入在线查看,通过修改url中的userFileId参数可以查看未经授权的文件内容。 安全建议 严格的权限控制
No responses yet.
