今天下午收到了一封来自 Alkacon Software GmbH 的邮件。有些惊讶。mail内容不多,如下两句:
=============================================================
Hi,
just to thank you for making us aware of some security holes in OpenCms regarding uploading jsp files (and for the jsp itself ;).
--
Kind regards,
Michael
-------------------
Alkacon Software GmbH - The OpenCms Experts Michael Moossen
===============================================================
大意就是说感谢我让他们意识到系统的一个安全漏洞。
实际上这个问题早就发现了,我曾经上传一个文件到OpenCms系统,然后这个文件发布以后,只要我能访问这个页面,就可以进入整个操作系统的文件系统。
本来自己没有把这个当作很大的事情,因为不是谁都有权限做这件事情的,但是一旦发生了,后果还是相当严重的。但是这次使用OpenCms的官方demo网站测试的时候,发现这个问题还是相当严重的。我收到这封邮件就算是让他们意识到了吧。
希望在下个版本能够改进。
今天还是比较高兴的,我喜欢OpenCms,希望越来越好!
分享到:
相关推荐
opencms-core:Alkacon Software的Java开源内容管理系统
opencms中用到的jar com.alkacon-simapi0.9.8.jar 提供com.alkacon.simapi.Simapi com.alkacon.filter等
官方版本,亲测可用
标签:alkacon-simapi-0.9.8.jar.zip,alkacon,simapi,0.9.8,jar.zip包下载,依赖包
标签:alkacon-diff-0.9.2.jar.zip,alkacon,diff,0.9.2,jar.zip包下载,依赖包
Opencms是一个内容管理系统,是一个完全开源的软件,由德国的Alkacon Software 公司负责OpenCms 的开发和维护,适合网站的建设,比如门户网站等等,但不适合业务系统的建设。
标签:alkacon-diff-0.9.2-javadoc.jar.zip,alkacon,diff,0.9.2,javadoc,jar.zip包下载,依赖包
标签:alkacon-diff-0.9.2-sources.jar.zip,alkacon,diff,0.9.2,sources,jar.zip包下载,依赖包
Alkacon_OpenCms_Products_and_Services.pdf
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
jar包,官方版本,自测可用
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用