摘要： Nuxeo Platform是一款跨平台开源的企业级内容管理系统(CMS)。 nuxeo-jsf-ui组件处理facelet模板不当，当访问的facelet模板不存在时，相关的文件名会输出到错误页面上，而错误页面会当成模板被解析，文件名包含表达式也会被输出同时被解析执行，从而导致远程代码执行漏洞。 在漏洞挖掘过程中发现nuxeo-jsf组件默认在10.2没有安装，历史版本是默认就安装的。可以通过nuxeoctl mp-install nuxeo-jsf-ui 命令安装。 阅读全文