发布日期：2019-06-10
更新日期：2019-06-11

受影响系统：

ProjectSend ProjectSend r1053

不受影响系统：

ProjectSend ProjectSend r1070

描述：

---

BUGTRAQ  ID: 108069
CVE(CAN) ID: CVE-2019-11378

ProjectSend是一个开源的，面向客户的私有文件共享Web应用程序。
在ProjectSend r1053中发现了一个问题。upload-process-form.php允许finished_files [] = .. /目录遍历。用户可以读取任意文件并（可能）访问支持数据库，删除任意文件，访问用户密码或运行任意代码。

<*来源：lmsilva
  *>

建议：

---

厂商补丁：

ProjectSend
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

浏览次数：1763
严重程度：0（网友投票）