找回密码
 注册【用户名必须为中文字符】

QQ登录

只需一步,快速开始

华夏ERP开源版已知漏洞的修复公告

jishenghua 回复:1 | 查看:1233 | 发表于 2023-9-6 20:43:58 |阅读模式 |复制链接
漏洞详细描述详见网址:http://cn-sec.com/archives/387212.html

下面主要描述一下漏洞修复的情况:
一、授权绕过漏洞
下载1.png
去掉了ignoredList ,这样就不能通过图片扩展名来绕过权限校验获取信息了。

二、后台命令执行漏洞
下载2.png
已经把fastjson的版本升级到了1.2.83 该版本已经解决了后台命令执行的漏洞的问题。

请大家使用最新发布的3.3版本进行升级,替换之前的老版本,从而解决以上的这些问题。
3.3版本地址:https://gitee.com/jishenghua/JSH_ERP/releases/tag/v3.3

华夏ERP从2016年开源以来一直在不间断的更新,系统有漏洞有问题都是难免的,我们每次都会在第一时间解决问题,感谢大家的持续支持!

回复

使用道具 举报

本版积分规则

联系我们

对话产生契机,讨论收获惊喜, 只为成就无限创举

江苏省南通市通州区太湖路88号

欢迎来这里一起喝喝茶,
聊聊你的想法

15806283912
(9:00AM-6:00PM)

一切从沟通开始

洽谈合作
752718920@qq.com

工作日12小时内回复

微信号
shenhua861584

欢迎每一个对事业怀
有疯狂激情的人

登录 发布 快速回复 返回顶部 返回列表