安全研究

任意文件(jiàn)下(xià)載漏洞

漏洞描述

一(yī)些業(yè)務應用由于業(yè)務需求,可能(néng)提供文件(jiàn)查看(kàn)或下(xià)載功能(néng)。如果對用戶查看(kàn)或下(xià)載的文件(jiàn)不做限制,則惡意用戶能(néng)夠查看(kàn)或下(xià)載任意文件(jiàn),可以是源代碼文件(jiàn)、敏感文件(jiàn)等。攻擊者可構造惡意請求下(xià)載服務器(qì)上(shàng)的敏感文件(jiàn),進而植入網站後門(mén)控制網站服務器(qì)主機(jī)

修複建議

升級您正在使用的 CMS 或插件(jiàn)至最新版本。
如果漏洞文件(jiàn)不再使用,請删除文件(jiàn)。 
注意:删除前請做好備份。
Copyright © 2019 All Rights Reserved Designed
杭州樂桦網絡科技有限公司