远程访问运行Goagent客户端的机器,输入下列格式的url,(其中127.0.0.1 替换成远程机器的IP) 即可远程遍历目录及下载任意文件。
http://ift.tt/1zh3nmg
该漏洞对内网使用的机器(linux、windows)及提供公网PAC服务的,均存在上述问题。
最新版本3.2.3依然有此问题
如果有做公网pac的,建议立刻停掉,等待修正
目前解决方案,禁用pac,修改 proxy.ini 里面的
[pac]
enable = 1
修改为:
[pac]
enable = 0
重新启动Goagent客户端即可。
via 细节的力量 http://ift.tt/1yKJk06
No comments:
Post a Comment