路径遍历漏洞

[QiAnXinCodeSafe]

您好： 我是360代码卫士团队的工作人员，在我们的开源项目代码检测过程中发现xxl-conf存在路径遍历漏洞导致可以通过../来读取任意配置文件，详情如下： 在ConfController.java文件 的第150行处，可以看到程序通过@RequestParam(name = "keys", required = false) List keys 接收了请求中的参数keys，而该参数是受用户控制的。 最后该参数经过拼凑后传入PropUtil.java文件中的loadFileProp方法中，并在第66行处用于指定new File()的参数，恶意攻击者可以通过构造带有../的keys参数来进行路径遍历读取任意properities文件

[xuxueli]

你好，感谢反馈！ 稍后会对问题修复，并推送master分支。

[xuxueli]

@360CodeSafe 你好，修复代码已经推送master，可以pull master分支代码体验。将会跟随后续版本一并发布。

针对现有版本，可以借助 acceeToken 限制非法外部请求，防止恶意请求。