漏洞描述 拓尔思内容发布应用服务器是一款国产信息资源发布系统。 该系统中多个脚本的templet参数存在目录遍历漏洞,攻击者使用有效的ChannelId,无需身份验证即可通过构造畸形POST请求,越权访问WEB-INF文件夹中信息。
相关漏洞推荐 拓尔思-WAS 存在任意文件下载漏洞 拓尔思-WAS 存在弱口令漏洞 拓尔思WAS5应用服务器 后台命令执行漏洞 拓尔思-WAS /web/tree 路径存在任意文件读取漏洞 拓尔思WAS4.0 Login脚本信息泄露漏洞