华夏ERP开源版已知漏洞的修复公告
漏洞详细描述详见网址:http://cn-sec.com/archives/387212.html下面主要描述一下漏洞修复的情况:
一、授权绕过漏洞
去掉了ignoredList ,这样就不能通过图片扩展名来绕过权限校验获取信息了。
二、后台命令执行漏洞
已经把fastjson的版本升级到了1.2.83 该版本已经解决了后台命令执行的漏洞的问题。
请大家使用最新发布的3.3版本进行升级,替换之前的老版本,从而解决以上的这些问题。
3.3版本地址:https://gitee.com/jishenghua/JSH_ERP/releases/tag/v3.3
华夏ERP从2016年开源以来一直在不间断的更新,系统有漏洞有问题都是难免的,我们每次都会在第一时间解决问题,感谢大家的持续支持!
:)
页:
[1]