中危 Flowring Technology Agentflow BPM 代码问题漏洞(CVE-2022-39036)
CVE编号
CVE-2022-39036利用情况
暂无补丁情况
官方补丁披露时间
2022-11-10漏洞描述
Flowring Technology Agentflow BPM是中国华苓科技(Flowring Technology)公司的一个企业流程管理系统。 Flowring Technology Agentflow BPM 存在代码问题漏洞,该漏洞源于其文件上传功能对url中的特殊字符过滤不足导致未经身份验证的远程攻击者可以上传任意文件并执行任意代码来操纵系统或中断服务。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.flowring.com/2022/09/19/%e7%94%a2%e5%93%81%e6%9b%b4%e6%96%b0agentflow-v4-0%e3%80%81v3-7%e5%a4%be%e6%aa%94%e5%8a%9f%e8%83%bd%e8%b3%87%e5%ae%89%e4%bf%ae%e6%ad%a3
参考链接 |
|
|---|---|
| https://www.flowring.com/2022/09/19/%e7%94%a2%e5%93%81%e6%9b%b4%e6%96%b0agent... | |
| https://www.twcert.org.tw/tw/cp-132-6682-21207-1.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | flowring | agentflow | 4.0.0.1183.552 | - | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-434 | 危险类型文件的不加限制上传 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论