MasterSAM downloadService任意文件读取（CVE-2024-55457）（附脚本）

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 产品描述：

        MasterSAM 是一款专注于身份管理和单点登录（SSO）的企业级软件，主要用于集中管理用户账户、权限和访问控制。它支持单点登录功能，允许用户一次登录即可访问多个系统，同时提供基于角色的权限管理和详细的审计日志，确保企业资源的安全性和合规性。MasterSAM 广泛应用于企业内部系统集成，如 ERP、CRM、OA 等，帮助企业提升管理效率并降低安全风险
0x02 漏洞描述：

        MasterSAM Star Gate的/adama/adama/downloadService接口存在任意文件下载漏洞，未经身份验证的攻击者可以通过该漏洞下载服务器任意文件