OfficeWeb-365-Readfile-任意文件读取，文件下载或获取文件显示内容页面由于未对传入的文件名进行过滤，利用路径回溯符../跳出程序本身的限制目录，来下载或显示任意文件。

立即联系厂商将 OfficeWeb365 升级至最新安全版本，从根本上修复任意文件读取漏洞。 在 WAF 或防护设备上配置拦截规则，阻断 URL 中包含 ../、..%2f 等路径穿越特征的恶意请求。 严格限制应用运行账户权限，禁止其访问系统核心目录（如 Windows、etc 等）及敏感配置文件。