作者分享了关于OpenCms中发现的安全漏洞,并收到了官方感谢信。该漏洞涉及上传jsp文件后可访问操作系统文件系统的问题。
今天下午收到了一封来自 Alkacon Software GmbH 的邮件。有些惊讶。mail内容不多,如下两句:
=============================================================
Hi,
just to thank you for making us aware of some security holes in OpenCms regarding uploading jsp files (and for the jsp itself ;).
--
Kind regards,
Michael
-------------------
Alkacon Software GmbH - The OpenCms Experts Michael Moossen
===============================================================
大意就是说感谢我让他们意识到系统的一个安全漏洞。
实际上这个问题早就发现了,我曾经上传一个文件到OpenCms系统,然后这个文件发布以后,只要我能访问这个页面,就可以进入整个操作系统的文件系统。
本来自己没有把这个当作很大的事情,因为不是谁都有权限做这件事情的,但是一旦发生了,后果还是相当严重的。但是这次使用OpenCms的官方demo网站测试的时候,发现这个问题还是相当严重的。我收到这封邮件就算是让他们意识到了吧。
希望在下个版本能够改进。
今天还是比较高兴的,我喜欢OpenCms,希望越来越好!
=============================================================
Hi,
just to thank you for making us aware of some security holes in OpenCms regarding uploading jsp files (and for the jsp itself ;).
--
Kind regards,
Michael
-------------------
Alkacon Software GmbH - The OpenCms Experts Michael Moossen
===============================================================
大意就是说感谢我让他们意识到系统的一个安全漏洞。
实际上这个问题早就发现了,我曾经上传一个文件到OpenCms系统,然后这个文件发布以后,只要我能访问这个页面,就可以进入整个操作系统的文件系统。
本来自己没有把这个当作很大的事情,因为不是谁都有权限做这件事情的,但是一旦发生了,后果还是相当严重的。但是这次使用OpenCms的官方demo网站测试的时候,发现这个问题还是相当严重的。我收到这封邮件就算是让他们意识到了吧。
希望在下个版本能够改进。
今天还是比较高兴的,我喜欢OpenCms,希望越来越好!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
