存在服务器目录遍历漏洞 - Githubissues

jeecgboot / JeecgBoot

🔥「企业级低代码平台」前后端分离架构SpringBoot 2.x/3.x，SpringCloud，Ant Design&Vue3，Mybatis，Shiro，JWT。强大的代码生成器让前后端代码一键生成，无需写任何代码! 引领新的开发模式OnlineCoding->代码生成->手工MERGE，帮助Java项目解决70%重复工作，让开发更关注业务，既能快速提高效率，帮助公司节省成本，同时又不失灵活性。

http://www.jeecg.com

Apache License 2.0

40.08k stars 14.7k forks source link

存在服务器目录遍历漏洞 #3060

Closed SamualHe closed 2 years ago

SamualHe commented 2 years ago

版本号：jeecgboot 2.4.6

问题描述：低权限账号访问http://localhost:8080/jeecg-boot/online/cgform/head/fileTree?_t=1632524014&parentPath=/

直接返回服务器文件目录信息

截图&代码：

友情提示（为了提高issue处理效率）：

未按格式要求发帖，会被直接删掉;
请自己初判问题描述是否清楚，是否方便我们调查处理；
针对问题请说明是Online在线功能(需说明用的主题模板)，还是生成的代码功能；
描述过于简单或模糊，导致无法处理的，会被直接删掉；

SamualHe commented 2 years ago

onlCgformHeadController类的fileTree方法没有权限控制

zhangdaiscott commented 2 years ago

收录，感谢

zhangdaiscott commented 2 years ago

已经修复，下个版本发布