测试环境

CMS版本：Previous_Releases_4.0.1
JVM名称：OpenJDK 64-Bit Server VM
JAVA版本：1.8.0_362
操作系统名称：Windows 10
操作系统架构：amd64
数据库版本：8.0.32

漏洞效果

我们先到项目目录src\main\resources\db\dreamer-cms\templates

先把default_v2目录复制一份，修改成default_v3。

修改其中的theme.json文件。将其中的themePath值修改成../../../../../../../../../../../../../../

然后打包default_v3成default_v3.zip，到后台风格管理处上传zip文件并启用主题。

此时我们再到模板管理处就可以看到目录下的文件了。

我们可以任意查看文件内容，同时也可以修改文件内容。

如果是Linux服务器，我们可以修改authorized_keys文件进行免密登录了，也可以写计划任务。这里只能修改已存在文件，但可以配合压缩校验不正确上传任意文件，来达到获取服务器权限的目的。