发布日期：2022-07-17
更新日期：2022-09-09

受影响系统：

dotCMS dotCMS 3.0

描述：

---

CVE(CAN) ID: CVE-2022-26352

dotCMS是美国dotCMS公司的一套内容管理系统（CMS）。该系统支持RSS订阅、博客、论坛等模块，并具有易于扩展和构建的特点。
dotCMS 3.0版本的ContentResource API存在路径遍历漏洞。未经身份认证的攻击者可利用该漏洞通过创建多部分表单请求发布文件名未被清理的文件，并上传.jsp等可执行文件，进而执行远程代码。

<**>

建议：

---

厂商补丁：

dotCMS
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://packetstormsecurity.com/files/167365/dotCMS-Shell-Upload.html

浏览次数：675
严重程度：0（网友投票）