严重 畅捷通T+ SetupAccount/Upload.aspx 文件上传漏洞(CNVD-2022-60632)
CVE编号
N/A利用情况
漏洞武器化补丁情况
官方补丁披露时间
2022-08-29漏洞描述
畅捷通T+是一款互联网企业财务管理软件。互联网上披露其某接口存在未授权访问漏洞。攻击者可构造恶意请求上传恶意文件,从而执行任意代码,控制服务器。解决建议
目前,畅捷通公司已紧急发布漏洞补丁修复该漏洞,CNVD建议受影响的单位和用户立即升级至最新版本:https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5同时,请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作:1、用户自查步骤:查询本地是否存在website/bin/load.aspx.cdcab7d2.compiled、website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件,如存在说明已经中毒,须重装系统,并安装产品打补丁。2、未中毒用户请:1)更新最新产品补丁。2)安装杀毒软件,并及时升级病毒库。3)升级IIS和Nginx低版本至IIS10.0和Windows 2016。4)本地安装客户需尽快确认备份文件是否完整,以及做了异地备份。云上客户请及时开启镜像功能。5)未能及时更新补丁的用户,可联系畅捷通技术支持,采取删除文件等临时防范措施。3、已中毒用户请:1)检查服务器是否有做定期快照或备份,如有可通过快照或备份恢复数据。2)联系畅捷通技术支持,确认是否具备从备份文件恢复数据的条件及操作方法。如有技术问题,请联系畅捷通技术支持:4006600566-9
参考链接 |
|
|---|---|
| https://mp.weixin.qq.com/s/ER9p8umEXkf0auOV7Y2CXw | |
| https://mp.weixin.qq.com/s/nBt98mn5zbLkTeDIPPz78g | |
| https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5 |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 漏洞武器化
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 服务器失陷
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-434 | 危险类型文件的不加限制上传 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论