漏洞描述
一些業務應用由于業務需求,可(kě)能提供文件(jiàn)查看(kàn)或下載功能。如(rú)果對用戶查看(kàn)或下載的文件(jiàn)不做限制,則惡意用戶能夠查看(kàn)或下載任意文件(jiàn),可(kě)以是源代碼文件(jiàn)、敏感文件(jiàn)等。攻擊者可(kě)構造惡意請(qǐng)求下載服務器上的敏感文件(jiàn),進而植入網站(zhàn)後門控制網站(zhàn)服務器主機(jī)。
修複建議(yì)
升級您正在使用的 CMS 或插件(jiàn)至最新版本。 如(rú)果漏洞文件(jiàn)不再使用,請(qǐng)删除文件(jiàn)。 注意:删除前請(qǐng)做好備份。