Hoverfly /api/v2/simulation 存在任意文件读取(CVE-2024-45388)

文章预览

0x01 组件介绍 Hoverfly 是一个轻量的 API 服务模拟工具（有时候也被称作服务虚拟化工具）。使用 Hoverfly，您可以创建应用程序依赖的 API 的真实模拟。 － 创建可重复使用的虚拟服务，在 CI 环境中替代缓慢和不稳定的外部或第三方服务 － 模拟网络延迟，随机故障或速率限制以测试边缘情况 － 使用多种编程语言扩展和自定义， 包括 Go，Java，Javascript，Python － 导出，共享，编辑和导入 API 模拟数据 － 提供方便易用的命令行界面 hoverctl － Java 和 Python 的语言绑定 － REST API － 使用 Go 编写，轻巧，高性能，可在任何地方运行 － 提供多种运行模式，可以对 HTTP 响应进行记录，回放，修改或合成。 fofa语法：title=="Hoverfly Dashboard" 0x02 漏洞描述 2024年9月，官方发布新版本修复了CVE-2024-45388，Hoverfly /api/v2/simulation 端点，POST 处理程序允许用户从用户指定文件的 ………………………………