大汉版通JCMS数据库配置文件读取漏洞

大汉版通JCMS内容管理系统

大汉版通JCMS内容管理系统是基于J2EE构架设计的内容管理系统,多用于政府门户网站。

该漏洞是由于读取xml文件时没有对传进的参数进行过滤,flowcode参数可控,配置文件地址WEB-INF/config/dbconfig.xml,由于控制了文件后缀,只能读取xml文件
Continue reading