路径遍历漏洞 #61
Comments
|
你好,感谢反馈! |
|
@360CodeSafe 你好,修复代码已经推送master,可以pull master分支代码体验。将会跟随后续版本一并发布。 针对现有版本,可以借助 acceeToken 限制非法外部请求,防止恶意请求。 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
您好:
我是360代码卫士团队的工作人员,在我们的开源项目代码检测过程中发现xxl-conf存在路径遍历漏洞导致可以通过../来读取任意配置文件,详情如下:
在ConfController.java文件 的第150行处,可以看到程序通过@RequestParam(name = "keys", required = false) List keys 接收了请求中的参数keys,而该参数是受用户控制的。
最后该参数经过拼凑后传入PropUtil.java文件中的loadFileProp方法中,并在第66行处用于指定new File()的参数,恶意攻击者可以通过构造带有../的keys参数来进行路径遍历读取任意properities文件
The text was updated successfully, but these errors were encountered: