cms

cms copied to clipboard

验证码机制存在重用漏洞

2

在登录等需要验证码的地方，通过提交token和code的方式验证。 token是加密过的验证码，包含验证码和超时时间 code是用户输入的验证码。 存在的问题是提交时使用postman等工具，token永远提交一个相同的值，code也提交正确的值，则验证码功能将失效，直到验证码超时。 修改建议： 在服务端验证此验证码在有效期内是否已经被验证过，如果验证过，则不能重复使用。

fsea

启用redis后后台登录第一次密码永远是错误，不管是对的还是错的

2

未启用redis前，密码一次登录就能进去 启用后，密码第一次永远是错误，第二次才能进去

fsea

Docker版的如何连接达梦等国产数据库

2

Docker版的如何连接达梦等国产数据库？官方文档里没有说明

leonedit

V7.2.1 反馈3个后台管理BUG，涉及：存储型XSS，任意文件上传，物理路径泄露

11

### 存储型 XSS 全局修复，以下为两处举例： 172.0.0.1/api/admin/cms/editor/actions/update 第一处： 使用管理员账号登录后台，信息管理->内容管理，点击编辑：  编辑标题，以html形式编辑内容，保存为测试使用的XSS语句，点击发布。  访问刚刚编辑的内容，触发XSS    第二处： 127.0.0.1/api/admin/cms/channels/channels/actions/append 栏目管理，编辑栏目，在栏目名称写上测试语句  点击生成后，访问栏目链接，触发XSS   ### 任意文件上传 资源文件管理，上传样式文件 */api/admin/cms/templates/templatesAssets/actions/upload?siteId=1&fileType=aspx&directories=  修改后缀参数即可任意文件上传  ### 物理路径泄露...

sr6783

信息管理——内容审核，搜索存在问题

2

应该只能搜索出赋予当前用户权限的栏目的内容，而不能把未赋予权限的内容搜索出来，否则一点审核就会因没有权限而跳到登录页面。

fsea

7.2.1 下载.apk文件跳转到404页面

6

## 环境参数 操作系统：CentOS7.9（Linux 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 linux-x64 ） .NET 7.0.9 版本号 7.2.1 ## 预期功能 添加.apk附件类型后，可以正常上传和下载 ## 当前功能 下载.apk文件跳转到404页面（如图1）  但是服务器上有文件（如图2）  ,附件上传已设置.apkl类型截图（如图3）...

sr6783

在vs中，启动安装，mysql连接，执行建表时报错

1

在vs中，启动安装，mysql连接，执行建表时报错

shiqw

站点无法在一天内创建多个

3

提示该数据库已存在，建议自增 版本 V7.1.1 {"message":"Table 'siteserver_20230919_1' already exists","addDate":"2023-09-19 14:31:45"} 

ByMYX

docker 从latest版本升级到指定版本 7.2.2后 一直卡在 install中

3

docker 从latest版本升级到指定版本 7.2.2后 一直卡在 install中，尝试直接 ss-admin/login后提示 'siteserver_20230915_1' already exists

ByMYX

建议更新docker上的 sscms版本

1

建议更新docker上的 sscms版本 目前还是 7.1的版本 但是官网上的版本却已经是7.2.1了 

ByMYX