路径遍历漏洞

Question

路径遍历漏洞

QiAnXinCodeSafe opened this issue 6 years ago · 2 comments

您好：
我是360代码卫士团队的工作人员，在我们的开源项目代码检测过程中发现xxl-conf存在路径遍历漏洞导致可以通过../来读取任意配置文件，详情如下：
在ConfController.java文件的第150行处，可以看到程序通过@RequestParam(name = "keys", required = false) List keys 接收了请求中的参数keys，而该参数是受用户控制的。

最后该参数经过拼凑后传入PropUtil.java文件中的loadFileProp方法中，并在第66行处用于指定new File()的参数，恶意攻击者可以通过构造带有../的keys参数来进行路径遍历读取任意properities文件

Answer 1 · 2018-12-05T10:33:05.000Z

你好，感谢反馈！
稍后会对问题修复，并推送master分支。

Answer 2 · 2018-12-05T11:16:44.000Z

@360CodeSafe 你好，修复代码已经推送master，可以pull master分支代码体验。将会跟随后续版本一并发布。

针对现有版本，可以借助 acceeToken 限制非法外部请求，防止恶意请求。