漏洞描述
一些業務應用由于業務需求,可能(néng)提供文件查看或下載功能(néng)。如果對(duì)用戶查看或下載的文件不做限制,則惡意用戶能(néng)夠查看或下載任意文件,可以是源代碼文件、敏感文件等。攻擊者可構造惡意請求下載服務器上的敏感文件,進(jìn)而植入網站後(hòu)門控制網站服務器主機。
修複建議
升級您正在使用的 CMS 或插件至最新版本。 如果漏洞文件不再使用,請删除文件。 注意:删除前請做好(hǎo)備份。