291792
回帖
【BUG反馈】不能创建临时目录
回帖回帖数 1
阅读数 2334
发表时间 2021-12-11 19:46:49
不能创建临时目录,请确认目录/www/wwwroot/zentao/www/data/是否存在并有操作权限。
环境:
系统:ubuntu 18.04
面板:宝塔面板 + nginx + PHP 7.4 + mysql 5.7
软件:开源版12.5.3
错误文件:module/user/control.php 780行
错误内容:
publicfunctionlogin($referer = '', $from = '')
{
/* Check if you can operating on the folder. */
$canModifyDIR = true;
if($this->user->checkTmp() === false)
{
$canModifyDIR = false;
$floderPath = $this->app->tmpRoot;
}
elseif(!is_dir($this->app->dataRoot) or substr(base_convert(@fileperms($this->app->dataRoot),10,8),-4) != '0777')
{
echo$this->app->dataRoot;
exit;
$canModifyDIR = false;
$floderPath = $this->app->dataRoot;
}
这里权限检测为 777,如果该目录设置为777权限,则极有可能导致跨站攻击。或其他非nginx用户也可以修改改目录文件,或写入脚本,从而取得webshell。
个人认为应该只检测当前用户 rwx权限,而不应该检测 其他用户组与其他用户rwx权限。
建议修改:
is_dir($this->app->dataRoot) or substr(base_convert(@fileperms($this->app->dataRoot),10,8),-4,2) != '07')
2021-12-11 19:48:39 赵楠 最后编辑 回帖
+20
回帖+20 1个回复
于涛 您好,非常感谢您的反馈,这块我们会记录反馈给相关研发部门,进行优化。您的建议对我们来说非常重要,作为感谢,我们会奖励您20个积分,请注意查收:)
2021-12-13 09:33:19 于涛 回帖
联系我们
联系人
金娟/高级客户经理
电话(微信)
18562856230
QQ号码
1826606239
联系邮箱
jinjuan@chandao.com
AI知识库
相关帖子
胡文杰 | 最后回帖 2019-01-11 11:10 禅道-李锡碧
曹林 | 最后回帖 2019-06-26 18:03 禅道-李锡碧
S-3379856978 | 最后回帖 2016-10-12 11:50 S-3379856978
Qter | 最后回帖 2020-09-07 17:52 马超
叶志旺 | 最后回帖 2016-02-16 08:57 石洋洋
谢国军 | 最后回帖 2016-05-04 17:43 石洋洋
联系我们
金娟
高级客户经理
电话(微信)
18562856230
QQ号码
1826606239
联系邮箱
jinjuan@chandao.com
联系我们
李木
高级客户经理
电话(微信)
18562583552
QQ号码
3985895121
联系邮箱
limu@chandao.com
!您的禅道专属服务通道已开启
感谢您的!为确保您能充分发挥禅道的价值,我们为您准备了以下专属服务:
精品资料包立即获取《软件研发质量管理体系建设白皮书》、《PMO实践白皮书》《IPD资料》等行业最佳实践资料。
1V1产品演示为您量身定制线上演示,深度讲解核心功能与适用场景。
免费试用增强功能获取正式试用授权,解锁全部功能,带领团队亲身体验。
专属顾问答疑支持在使用中遇到的任何问题,您的专属顾问将及时为您解答。
添加您的专属顾问获取服务
扫码添加领专属服务
