Open LRCgtp opened 2 months ago
LRCgtp
commented
2 months ago 高危漏洞描述: Allaire JRun 2.3.x 安装时如果将一些教程,范例代码以及应用程序也装到了服务器上,可能导致泄漏服务器的一些敏感信息,例如系统配置或者执行某些命令等等。
例如: 1)访问 http://target/servlet/SessionServlet将会显示所有当前的Http会话的id号;
2)viewsource.jsp 缺省没有禁止路径检查,这可能允许远程用户察看服务器上任意文件。
这些存在安全问题的范例代码,应该手工删除。
c121914yu
commented
2 months ago 这不是 java 的么~
LRCgtp
commented
2 months ago Allaire JRun 2.3.x 这个版本系列有漏洞,需要更新版本或者下载补丁,但是目前下载不到包了
c121914yu
commented
2 months ago Allaire JRun 2.3.x 这个版本系列有漏洞,需要更新版本或者下载补丁,但是目前下载不到包了
fastgpt 都没用到 Java,咋会有 java 的漏洞[惊]
LRCgtp
commented
2 months ago 老师 我这个服务器上只部署了fastgpt应用,通过docnker-compose方式部署,安全扫描只扫描了fastgpt所在的服务器,我们这边安全扫描过了就正式采购fastgpt商业版,我前面已经跟fastgpt这边的老师沟通好了,请老师再帮我看看会是哪个组件的问题,安全就是过不去。
c121914yu
commented
1 month ago 老师 我这个服务器上只部署了fastgpt应用,通过docnker-compose方式部署,安全扫描只扫描了fastgpt所在的服务器,我们这边安全扫描过了就正式采购fastgpt商业版,我前面已经跟fastgpt这边的老师沟通好了,请老师再帮我看看会是哪个组件的问题,安全就是过不去。
是不是你们服务器,,有其他程序
扫描漏洞描述: Allaire JRun 2.3.x 安装时如果将一些教程,范例代码以及应用程序也装到了服务器上,可能导致泄漏服务器的一些敏感信息,例如系统配置或者执行某些命令等等。
例如: 1)访问 http://target/servlet/SessionServlet将会显示所有当前的Http会话的id号;
2)viewsource.jsp 缺省没有禁止路径检查,这可能允许远程用户察看服务器上任意文件。
这些存在安全问题的范例代码,应该手工删除。