We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
您好: 我是360代码卫士团队的工作人员,在我们的开源项目代码检测过程中发现xxl-conf存在路径遍历漏洞导致可以通过../来读取任意配置文件,详情如下: 在ConfController.java文件 的第150行处,可以看到程序通过@RequestParam(name = "keys", required = false) List keys 接收了请求中的参数keys,而该参数是受用户控制的。 最后该参数经过拼凑后传入PropUtil.java文件中的loadFileProp方法中,并在第66行处用于指定new File()的参数,恶意攻击者可以通过构造带有../的keys参数来进行路径遍历读取任意properities文件
The text was updated successfully, but these errors were encountered:
你好,感谢反馈! 稍后会对问题修复,并推送master分支。
Sorry, something went wrong.
@360CodeSafe 你好,修复代码已经推送master,可以pull master分支代码体验。将会跟随后续版本一并发布。
针对现有版本,可以借助 acceeToken 限制非法外部请求,防止恶意请求。
No branches or pull requests
您好:
我是360代码卫士团队的工作人员,在我们的开源项目代码检测过程中发现xxl-conf存在路径遍历漏洞导致可以通过../来读取任意配置文件,详情如下:
在ConfController.java文件 的第150行处,可以看到程序通过@RequestParam(name = "keys", required = false) List keys 接收了请求中的参数keys,而该参数是受用户控制的。
最后该参数经过拼凑后传入PropUtil.java文件中的loadFileProp方法中,并在第66行处用于指定new File()的参数,恶意攻击者可以通过构造带有../的keys参数来进行路径遍历读取任意properities文件
The text was updated successfully, but these errors were encountered: