TurboMail邮件系统任意文件读取漏洞（需管理权限）

简要描述： TurboMail邮件系统处理日志文件时未对文件路径进行判断，导致可读取服务器上的任意文件。 详细说明： 邮件后台管理进行“WEB日志查看”时存在任意文件读取漏洞。 漏洞代码位于TomcatLogAjax.class，其中getLog函数读取web服务器日志文件的源代码实现如下： publicstatic void getLogHttpServletRequest request, HttpServletResponse response throws ServletException, IOException MailSession ms =...