Closed QiAnXinCodeSafe closed 5 years ago
大家好, 我是360代码卫士的工作人员,在我们的开源代码检测项目中,发现MRCMS项目中存在路径遍历的漏洞 FileController.java文件是用于文件管理的,但其中大多数方法都没有对path参数做校验,恶意攻击者可能通过使用带有../的path来进行路径回溯,从而读取或删除其他文件夹下的文件,而不仅仅是/admin/file/下的。
已处理,不允许 .. 路径操作。
wuweiit
commented
5 years ago wuweiit
commented
5 years ago
大家好, 我是360代码卫士的工作人员,在我们的开源代码检测项目中,发现MRCMS项目中存在路径遍历的漏洞 FileController.java文件是用于文件管理的,但其中大多数方法都没有对path参数做校验,恶意攻击者可能通过使用带有../的path来进行路径回溯,从而读取或删除其他文件夹下的文件,而不仅仅是/admin/file/下的。