Any File Read #332
Comments
|
谢谢反馈! |
可以申请一个CVE嘛🤔 |
|
@nlrvana 可以的:) |
okk 这个要我自己去申请吗 |
|
我还不熟为块。。。得你自己来了:) @nlrvana 另外,我尝试了修复。。。帮忙试一下: 3.1.0-SNAPSHOT 这是快照版本的使用说明:https://solon.noear.org/article/640 目前的方案,是在静态处理这块做了过滤(动态的仍允许接收到这个请求);;;是不是对所有的请求进行过滤,更好? |
我来试试 是这样的,这个漏洞主要产生在静态处理的地方,所以只需要过滤静态处理就可以。毕竟solon框架没有选择tomcat这种大型中间件所以并不会解析../,包括很多知名的大型框架springboot(在选择了如netty中间件等情况下)等 他们都是过滤了静态处理的请求 |
|
好,麻烦了! |
啊? 我按照你给的方式进行了更新。但是版本仍然是3.0.8 |
|
@nlrvana 可能需要多刷新一下。。。或者,你直接用 3.0.9-M2 测试(刚发的测试版) |
|
你可以把他提交到github上面,我下载后再继续测试
🤔 我只看到了M1 
|
|
创建项目后,直接改下就好了:) |
你似乎只是修复了../,但是在Windows中也可以识别到..\,但是我不是Windows,而是Mac系统无法再帮你测试了,抱歉 |
|
好,我再加个 "..\" 过滤 |
|
3.0.9 发了。试下 |
似乎已经没有漏洞了 |
|
去申请 CVE 吧 |
|
我已经申请了,但他们的效率似乎有点慢。 |
No Pwn!
The text was updated successfully, but these errors were encountered: