漏洞名:dotCMS存在多个漏洞(CVE-2017-3187,CVE-2017-3188,CVE-2017-3189)
影响范围:版本<=3.7.1
漏洞描述:dotCMS管理员后台存在跨站请求伪造漏洞(CSRF),专业版的"Push Publishing"功能存在任意文件上传和路径遍历漏洞。攻击者可通过直接的文件上传或者利用CSRF漏洞以管理员的权限上传文件最终造成任意命令执行。
修复方案:目前针对“CSRF”漏洞已经给出解决方案
(https://github.com/dotCMS/com.dotcms.csrffilter),但是文件上传漏洞还没修复。
参考地址:https://www.kb.cert.org/vuls/id/168699