知识库

V9应用服务器出现/admin/1/../protect/绕过权限验证问题，影响部署了webtool.war并且2021-04-12之后的

漏洞说明：

应用服务器管理控制台出现访问/admin/1/../protect/绕过权限验证的问题，导致可部署任意恶意应用，造成重大危害。

影响范围：

受影响的版本：

普通管控webtool.war且构建时间2021-04-12之前（查看版本方法：直接打开webtool.war查看文件最后生成时间）

修复建议：

两种方式修复：

1. 替换管控为新版本（构建时间2021-04-12之后即可）
2. 增加放入附件AuthorityFilter.class文件，替换webtool.war/WEB-INF/classes/com/apusic/aasadmin/monitor/web/filter/目录（或更换整个webtool.war），同时修改管控webtool.war/WEB-INF/web.xml文件，增加如下内容：

<filter>

        <description>权限控制过滤器</description>

        <display-name>AuthorizationFilter</display-name>

        <filter-name>AuthorizationFilter</filter-name>

        <filter-class>com.apusic.aasadmin.monitor.web.filter.AuthorityFilter</filter-class>

        <init-param>

            <description>不用过滤的地址（多个地址表达式用,隔开;使用正则表达式验证）</description>

            <param-name>notFilterUrls</param-name>

            <param-value>

                ^/$,

                ^/res/.*$,

                ^/login$,

                ^/j_security_check$,

                ^/loginError$,

                ^/logout$,

                ^/logoutOther$,

                ^/changePassword$,

                ^/kaptcha\.jpg$,

            </param-value>

        </init-param>

        <init-param>

            <description>登录后不用过滤的地址（多个地址表达式用,隔开;使用正则表达式验证）</description>

            <param-name>notLoginFilterUrls</param-name>

            <param-value>

                ^/protect$,

                ^/protect/.*$

            </param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>AuthorizationFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>