1

我在 Windows 服务器上使用 WildFly 8.1.0.Final (JBoss),并且在其根目录下部署了一个带有单个 HTML 文件的 WAR ("test.war")。

现在,使用 CURL 我可以读取文件系统上的任何文件:

curl http://localhost/test/..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\Windows\\win.ini

请注意,访问远程主机时也会发生这种情况。另请注意,“..\”的数量可能取决于 Wildfly 的部署位置。

显然这是不希望的......

所以我试图通过显式禁用目录列表来解决这个问题,即使默认情况下禁用列表并且我使用“curl”不会浏览任何目录。这没有帮助。

尽管我无法证明这一点,但感觉就像是 Undertow 中的一个错误。

任何帮助将不胜感激。谢谢。

4

0 回答 0