291269
回帖
文件遍历漏洞
回帖回帖数 1
阅读数 1570
发表时间 2020-10-20 11:30:58
之前发过一个帖子提到禅道未对文件进行用户身份验证 (见 https://www.zentao.net/thread/291225.html ),后来修改代码加了登录验证。
但发现登录后,类似 http://xxxxx/zentaopms/www/index.php?m=file&f=read&t=&fileID=1004 的文件可以直接读取,没有进行权限验证,使得文件可通过遍历获取,存在安全隐患。请问这一点有没有解决方案?
1个回复
目前确实存在这个现象,因为禅道中用户有下载附件的权限就可以成功下载,没有再次设置验证。我们记录一下这个需求,谢谢反馈。
目前如果比较急需这个功能,也可以尝试一下修改代码实现。二次开发参考文档:
http://www.zentao.net/book/zentaopmshelp/156.htmlhttp://www.zentao.net/book/zentaopmshelp/225.html
2020-10-20 17:46:13 张玉洁 回帖
联系我们
联系人
魏中显/高级客户经理
电话(微信)
18561939726
QQ号码
1746749398
联系邮箱
weizhongxian@chandao.com
AI知识库
相关帖子
胡文杰 | 最后回帖 2019-01-11 11:10 禅道-李锡碧
分享是一种力量 | 最后回帖 2017-12-22 09:16 石洋洋
坏坏的钥匙扣 | 最后回帖 2019-08-12 17:36 张玉洁
俊逸的烈马 | 最后回帖 2024-06-27 11:17 马超
周杰 | 最后回帖 2017-10-18 13:57 王春生
泥泥 | 最后回帖 2021-05-08 11:03 禅道-李锡碧
联系我们
魏中显
高级客户经理
电话(微信)
18561939726
QQ号码
1746749398
联系邮箱
weizhongxian@chandao.com
联系我们
李木
高级客户经理
电话(微信)
18562583552
QQ号码
3985895121
联系邮箱
limu@chandao.com
!您的禅道专属服务通道已开启
感谢您的!为确保您能充分发挥禅道的价值,我们为您准备了以下专属服务:
精品资料包立即获取《软件研发质量管理体系建设白皮书》、《PMO实践白皮书》《IPD资料》等行业最佳实践资料。
1V1产品演示为您量身定制线上演示,深度讲解核心功能与适用场景。
免费试用增强功能获取正式试用授权,解锁全部功能,带领团队亲身体验。
专属顾问答疑支持在使用中遇到的任何问题,您的专属顾问将及时为您解答。
添加您的专属顾问获取服务
扫码添加领专属服务
