漏洞描述
一(yī)些業務應用由于業務需求,可(kě)能提供文件查看或下載功能。如(rú)果對用戶查看或下載的(de)文件不做(zuò)限制,則惡意用戶能夠查看或下載任意文件,可(kě)以是源代碼文件、敏感文件等。攻擊者可(kě)構造惡意請求下載服務器上的(de)敏感文件,進而植入網站後門控制網站服務器主機(jī)。
修複建議
升級您正在使用的(de) CMS 或插件至最新版本。 如(rú)果漏洞文件不再使用,請删除文件。 注意:删除前請做(zuò)好備份。