【漏洞预警】dotCMS存在多个漏洞

漏洞名：dotCMS存在多个漏洞(CVE-2017-3187,CVE-2017-3188,CVE-2017-3189)

影响范围：版本<=3.7.1

漏洞描述：dotCMS管理员后台存在跨站请求伪造漏洞(CSRF)，专业版的"Push Publishing"功能存在任意文件上传和路径遍历漏洞。攻击者可通过直接的文件上传或者利用CSRF漏洞以管理员的权限上传文件最终造成任意命令执行。

修复方案：目前针对“CSRF”漏洞已经给出解决方案

（https://github.com/dotCMS/com.dotcms.csrffilter），但是文件上传漏洞还没修复。

参考地址：https://www.kb.cert.org/vuls/id/168699