0x00 Предисловие

ShowDoc — это онлайн-инструмент для документирования API и технической документации, который очень подходит для ИТ-команд. С помощью showdoc вы можете легко использовать синтаксис уценки для написания красивых документов API, документов словаря данных, технических документов, онлайн-документов Excel и т. д. Вы можете легко управлять разрешениями для документов проекта и сотрудничать с командами, а также делиться документами с друзьями для просмотра.

ShowDoc также поддерживает многоплатформенные клиенты, включая клиент Win, клиент Mac, iOS, Android и т. д., что делает его более удобным для кроссплатформенного использования. В настоящее время более 100 000 интернет-команд используют showdoc, в том числе некоторые команды известных компаний, таких как Tencent, Huawei, Baidu, JD.com, ByteDance, SF Express и т. д.

0x01 Описание уязвимости

Злоумышленник получает токен через уязвимость SQL-инъекции и проникает на серверную часть. После входа в фоновый режим вы можете объединить уязвимость десериализации и написать в WebShell, чтобы получить разрешения сервера.

0x02 номер CVE

никто

0x03 затронутая версия

Showdoc < 3.2.5

0x04 Подробности об уязвимости

(из Интернета)

ссылка на ссылку 0x05

https://github.com/star7th/showdoc

https://www.showdoc.com.cn/help/13733