jfs-jfs/CVE-2026-37070

GitHub: jfs-jfs/CVE-2026-37070

该项目是 Veno File Manager 4.4.9 版本中 CVE-2026-37070 越权文件读取漏洞的概念验证仓库，用于复现和验证该访问控制缺陷。

Stars: 0 | Forks: 0

# CVE-2026-37070 Veno File Manager Project 4.4.9 版本的 /vfm-admin/ajax/streamvid.php 存在访问控制不当漏洞，只要知道文件的路径和文件名，经过身份验证的攻击者就可以通过向受影响的 endpoint 发送特制的 GET 请求，读取其他用户上传的任何文件。 https://github.com/user-attachments/assets/f5d44ead-af30-4c88-8e90-ad1e1e4913b5

标签：OpenVAS, PHP, 文件管理系统, 访问控制漏洞, 路径遍历