什么是jeecms网站漏洞分析漏洞修复与建议(图)

　　什么是jeecms网站漏洞分析漏洞修复与建议(图)

　　jeecms最近暴露了一个高危网站漏洞，该漏洞会导致网站被上传到webshel​​l木马文件中。受影响的版本是 jeecms V6.0 到 jeecmsV7.0 版本。 网站系统采用JAVA语言开发，数据库使用oracle、mysql、sql数据库，服务器系统支持windows2008、windows2012、linux centos系统。我们先简单了解一下什么是jeecms系统。本系统主要是内容文章管理的系统。支持微信、公众号、手机端自适应模板系统。开发功能强大，安全稳定，优化，很多程序文件夹都做了详细的安全权限分配，禁止java脚本文件，jeecms可以生成全站静态文件html，可视化的前端外观设计，丰富的第三方API接口，使系统深受广大网站建设爱好者的喜爱。

　　jeecms网站漏洞分析

　　jeecms漏洞的出现是因为网站的上传功能，可以绕过安全拦截，直接上传jsp格式的网站trojan文件到服务器，因为上传组件收录远程调用的功能图片链接导致调用时没有进行详细的安全过滤，也没有对远程图片的格式进行限制，导致任何格式的文件都可能上传到网站。我们来看一下代码：

　　我们在使用远程调用图片函数时，会使用前端的upfile函数来调用，然后使用单独的安全分隔符来确认文件的格式。结果，文件无需任何安全验证就可以上传，导致网站漏洞的发生。我们在本地电脑搭建环境，java+mysql环境，apache，使用官方下载的V7版本，我们本地搭建

　　上传的页面代码如下：

　　然后写下我们远程镜像的链接地址，点击提交：8080/webshel​​l.jsp绕过Jeecms的安全检测系统。上传成功，远程抓图成功。提示将在上传过程中直接出现。返回文件的地址路径。

　　jeecms 网站vulnerability 修复和建议

　　目前使用jeecms的网站通过搜索查询已达数万，使用此jeecms建站的网站运营商请升级网站系统至最新尽快发布 V9 版本。如果公司技术有限，请去掉远程图片上传功能，删除ueditor目录下的getRemoteImage.jspx文件，或者改名。如果对代码不熟悉，也可以找专业的网站安全公司。