WooYun.org

此系统多为大型政府新闻发布站点（新闻源），如一旦被某些（博彩集团）控制，估计后果危害不是一般大。。。
http://123.131.133.150:8080/wcm/ 临沂日报报业集团
http://61.153.63.94/wcm 云和县政府所有发布站点
http://www.cflac.org.cn/wcm 中国文联
http://wcm.xxz.gov.cn:8080/wcm/ 湘西州政府站群
http://www.jscnt.gov.cn/wcm/ 江苏省文化厅
http://www.sccnt.gov.cn 四川省文化厅
http://218.94.123.203/wcm 江苏长安网
http://203.86.89.25/wcm/ 中国书籍出版社
http://www.lfcgs.gov.cn:8080/wcm/ 廊坊车管所
http://iwr.cass.cn/wcm/ 中国社会科学院
http://www.whxinzhou.gov.cn:9090/wcm/ 新洲区人民政府公众网
http://123.131.133.150:8080/wcm/ 琅琊网
http://122.224.174.82:8090/wcm/ 中国美术学院
http://www.qhepb.gov.cn 青海省环保厅
http://211.154.254.113:8080/wcm/ 佛教在线
……等等
分析：TRS WCM中读取上传图片的：wcm/app/system/read_image.jsp

String sFileName = currRequestHelper.getString("FileName");//这里直接获取文件名，未进行任何判断，也未做任何过滤处理
if(sFileName == null || sFileName.trim().length()==0)
    throw new WCMException(ExceptionNumber.ERR_PARAM_INVALID, "传入文件名为空! ");

try{
    if(true) {
	    FilesMan currFilesMan = FilesMan.getFilesMan();
		sFileName = currFilesMan.mapFilePath(sFileName, FilesMan.PATH_LOCAL) + sFileName;//未对文件名进行有效判断。只检测是否为空
}else{
     java.io.File f = new java.io.File(sFileName);
	 if(f.exists()){
	     sFileName = f.getAbsolutePath();
	 }else {
	  ......//省略若干代码

顾可通过构造好的链接下载任意文件，例如可下载tomcat配置文件，如
tomcat/conf/tomcat-users.xml
通过跳转字符../ 或者 ..\ 可跳转到tomcat目录，或者下载源码
演示如下：

在对下载文件的过程中，应对../ 以及 ..\ 这样的字符进行充分判断。。。