PandaX issues

pandax excel 导出任意文件覆盖或任意文件下载

1

# pandax excel 导出任意文件覆盖或任意文件下载这三处路由，之后都会调用 `utils.InterfaceToExcel(*list, fileName)` 然后 `rc.Download(fileName)` 选其中一个来看代码中没有对传入的 `filename` 做检查，使用 `../` 跨目录指定导出的 excel 文件名及目录位置，可以用来覆盖掉不应该覆盖的文件而且，如果该目标文件没有写权限的话，之后 `rc.Download(fileName)` 又会将这个文件下载下来，就变成了文件读取了但是调用的是 `http.ServeFile`，只能用来读取项目目录下的文件，无法读取 `/etc/passwd` 等系统文件比如这样子去覆盖掉 template 文件 ![](https://pic.l1nyz-tel.cc/202403101132276.png)...

L1nyz-tel

[fix] 修复任意文件删除

1

L1nyz-tel

service "pandax" depends on undefined service mysql-server: invalid compose project

2

执行docker-compose up 命令后出现`service "pandax" depends on undefined service mysql-server: invalid compose project`

lisongxi

示例链接无法进入，猜测接口跨域

2

![image](https://github.com/PandaXGO/PandaX/assets/88085841/f9555bfd-90d2-4922-8d9f-5df161708017)

CherishMvp

PandaX
PandaX copied to clipboard

Metadata

pandax excel 导出任意文件覆盖或任意文件下载

[fix] 修复任意文件删除

service "pandax" depends on undefined service mysql-server: invalid compose project

示例链接无法进入，猜测接口跨域

← Metadata

Owner

Metadata

PandaX PandaX copied to clipboard

Metadata

pandax excel 导出 任意文件覆盖 或 任意文件下载

[fix] 修复任意文件删除

service "pandax" depends on undefined service mysql-server: invalid compose project

示例链接无法进入，猜测接口跨域

← Metadata

Owner

Metadata

PandaX
PandaX copied to clipboard

pandax excel 导出任意文件覆盖或任意文件下载