aruisi
aruisi
### 存储型 XSS 全局修复,以下为两处举例: 172.0.0.1/api/admin/cms/editor/actions/update 第一处: 使用管理员账号登录后台,信息管理->内容管理,点击编辑:  编辑标题,以html形式编辑内容,保存为测试使用的XSS语句,点击发布。  访问刚刚编辑的内容,触发XSS    第二处: 127.0.0.1/api/admin/cms/channels/channels/actions/append 栏目管理,编辑栏目,在栏目名称写上测试语句  点击生成后,访问栏目链接,触发XSS   ### 任意文件上传 资源文件管理,上传样式文件 */api/admin/cms/templates/templatesAssets/actions/upload?siteId=1&fileType=aspx&directories=  修改后缀参数即可任意文件上传  ### 物理路径泄露...
## 环境参数 操作系统:CentOS7.9(Linux 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 linux-x64 ) .NET 7.0.9 版本号 7.2.1 ## 预期功能 添加.apk附件类型后,可以正常上传和下载 ## 当前功能 下载.apk文件跳转到404页面(如图1)  但是服务器上有文件(如图2)  ,附件上传已设置.apkl类型截图(如图3)...
版本信息 - Microsoft Windows 10.0.22621 win-x64 - .NET 7.0.4 - 7.2.1 预期:使角色只可以管理指定的栏目,未指定的栏目不可以增删改,甚至不可见。 现状:勾选栏目管理权限和指定的栏目后,仍然可以对所有栏目增删改 图1是分配权限截图,图2是分配权限后截图  
场景:根据需求,修改了系统配置表siteserver_config中adminPasswordMinLength字段的值,修改后,清除缓存和重启系统,没生效,同时连其他管理员设置项都恢复成默认值。查询数据库,发现数据库的值修改生效,但没起作用。缓存类型:内存。 同样的问题,缓存是Redis的时候修改数据库,清除缓存,重启系统就可以。 请问下这块是哪里有问题,内存的缓存是从数据库读值吗?如果是读值,为什么修改了数据库清除了缓存没有重新去从数据库取值?如果不是读值,那么清除缓存后,所有的默认配置是从哪里读取过来的?