laravel-u-editor icon indicating copy to clipboard operation
laravel-u-editor copied to clipboard

Published 20 hours ago verified publisher icon stevenyangecho

上传文档泄露

Open xzpeng opened this issue 8 years ago • 1 comments

http://your-domain/laravel-u-editor-server/server?action=xxx (xxx 可以为 config、listfile、listimage、uploadimage、uploadscrawl、uploadvideo、 uploadvideo、catchimage)

如请求http://your-domain/laravel-u-editor-server/server?action=config 可以查看配置文件。 而请求http://your-domain/laravel-u-editor-server/server?action=listfile&start=0&size=100 则会泄露管理员上传过的全部文档,包括提交过和未提交过的,只要使用了 ueditor 编辑器上传的都可列出来(其中 size 为文件最大数,设置一个较大的数即可)

xzpeng avatar Aug 16 '16 02:08 xzpeng

config 没问题,就是公开的设置. listfile 和listimage 是UEditor 的 在线附件和图片管理. 此项目设计是主要考虑后台应用而实现的UEditor全功能.

如果仅仅是屏蔽在线附件和图片管理的功能,只需要在配置文件 config/UEditorUpload.php

注释掉相关参数 如

image

目前还不支持前后端分别使用不同的 配置方案.

哪位同学有思路,可以提供一下~~

stevenyangecho avatar Aug 16 '16 15:08 stevenyangecho