拓尔思TRSWAS 5.0文件读取漏洞是一个严重的安全漏洞,以下是对该漏洞的详细描述:
一、漏洞描述
漏洞名称:拓尔思TRSWAS 5.0文件读取漏洞
漏洞编号:CNVD-2020-27769
影响版本:TRSWAS 5.0
漏洞类型:文件读取漏洞
漏洞危害:中危
漏洞成因:web/tree接口的treefile参数未做限制,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露,威胁网站安全。
二、漏洞检测方式
将***.com替换为域名或对应IP,直接访问以下URL即可读取出配置文件信息:
http://xxx.xx.xx.xx/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties
如果漏洞存在,则会显示文件内容。
三、漏洞修复方式
1、官方修复:目前官方已经在新的版本中修复该漏洞,建议用户从官方渠道下载进行升级相应组件。
2、临时修复:使用附件中的文件trswas.jar替换目录D:TRSTRSWASV5.0Tomcatwebappswas5WEB-INFlib下的文件。
四、其他相关信息
厂商信息:北京拓尔思信息技术股份有限公司
相关平台:TRS WCM(内容管理协作平台)
其他漏洞:除了文件读取漏洞外,还有如TRS CMS(内容管理系统)的文件上传漏洞等。
信息仅供参考,具体修复操作应根据实际情况和官方指导进行,对于任何安全漏洞,都应及时关注并采取相应的防护措施,以确保系统的安全性。
各位小伙伴们,我刚刚为大家分享了有关trs was漏洞的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/91260.html
