技术 - News Message - SiteServer CMS 3.3 正式版发布了，但是又一严重的漏洞

今天 SiteServer CMS 3.3 正式版发布了，最大的亮点就是用户中心。

我发现 SiteServer CMS 团队的界面设计师喜欢挖腾讯的界面，从主站到用户后台无不都是腾讯的影子

不过以腾讯的作风，这算不了什么，借鉴借鉴嘛！

刚才稍微感受了一下，还是改进了蛮多，但是确发现一严重问题，就是用户后台的文件管理中，文件编辑器可以自己建立任何文件，所以少不了可以上传木马了。

简单测试：

1. 进入用户中心 http://YouDomain/UserCenter/，注册并进入用户后台

2. 左侧菜单：文档附件管理 - 右侧界面：文件夹 - 显示文档管理的主界面

3. 新建文件：新建一个 xxx.asp  的文件，内容如下

保存并管理

4. 返回主界面，直接点击 xxx.asp 文件的链接，是不是发现可以直接执行？

明白了吗？

· 本文由 木炭 发布在《激情燃烧的木炭》 上，原文地址为：http://www.woodcoal.cn/technology/news-message/2009518-13400-551.html（转载请保留本信息、全文内容和链接）