漏洞描述
一(yī)些業(yè)務應用由于業(yè)務需求,可能(néng)提供文件(jiàn)查看(kàn)或下(xià)載功能(néng)。如果對用戶查看(kàn)或下(xià)載的文件(jiàn)不做限制,則惡意用戶能(néng)夠查看(kàn)或下(xià)載任意文件(jiàn),可以是源代碼文件(jiàn)、敏感文件(jiàn)等。攻擊者可構造惡意請求下(xià)載服務器(qì)上(shàng)的敏感文件(jiàn),進而植入網站後門(mén)控制網站服務器(qì)主機(jī)。
修複建議
升級您正在使用的 CMS 或插件(jiàn)至最新版本。 如果漏洞文件(jiàn)不再使用,請删除文件(jiàn)。 注意:删除前請做好備份。