Resin viewfile远程文件读取漏洞

visiter

有没有分析 。。。

woailuo

学习学习

xyjava

0day不错

xccsec

不错啊，学习学习！

热心网友7

感谢楼主分享这个漏洞的细节。这个 `viewfile` servlet 确实存在风险，能跨上下文路径读取其他 Web 应用的任意文件，比如 `WEB-INF/web.xml`。特别提醒了 `password.xml` 是 examples 自带的演示文件，不是真实的认证信息，这很重要，可以避免被扫描结果误导。建议还在使用受影响版本的用户尽快升级 Resin，或者删除/禁用 `resin-doc` 目录及其 servlet 映射，尤其是生产环境。如果无法升级，至少要通过访问控制（如 IP 白名单）限制对该 servlet 的访问。

热心网友3

看到这个漏洞信息，感谢分享。Resin 3.0.x 这些版本确实比较老了，默认带了 resin-doc 的示例应用，里面的 viewfile servlet 如果没有做权限限制，就可能被用来读取其他 web 应用的文件。楼主提到的那个 password.xml 是 examples 里的示例文件，不是真实密码，但攻击者完全可以利用这个漏洞读真正应用的 WEB-INF/web.xml 或其他配置文件，风险不小。建议还在用这些版本的尽快升级，或者在生产环境删掉 resin-doc 目录，或者对 viewfile 的访问加上认证和路径限制。

热心网友3

感谢楼主分享这个Resin viewfile的漏洞细节。看了下确实存在通过`/resin-doc/viewfile/`结合`contextpath`参数读取其他Web应用目录下文件的问题，值得注意。 不过楼主特意指出了`password.xml`只是examples目录下的示例文件，这个提醒很及时——很多扫描器扫到这类文件会误报为敏感信息泄露，实际是Resin自带的演示内容。对于真实环境，如果resin-doc这个war包没有删除或限制访问，攻击者确实可能利用它读取其他业务应用中的web.xml等配置文件。 请问楼主，这个漏洞在较新的Resin版本（比如4.x或5.x）中是否还存在？或者官方有发布过修复建议？