• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

金蝶云星空ScpSupRegHandler任意文件上传漏洞通告

【发布时间:2023-12-13】

新华三盾山实验室

2023/11/17


1. 漏洞综述

1.1 漏洞背景

金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。近日,新华三盾山实验室监测到金蝶云星空存在任意文件上传漏洞,攻击者可利用该漏洞上传恶意代码,获取服务器控制权限。

1.2 漏洞详情

此漏洞是由于金蝶云星空未对上传路径和文件后缀进行严格的验证和过滤,攻击者可以通过路径穿越将恶意脚本文件上传至服务器,从而执行恶意代码,获取服务器控制权限。

1.3 漏洞复现

1.4影响范围

金蝶云星空企业版私有云、企业版私有云(订阅)、标准版私有云(订阅)三个产品

V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁)

2. 严重等级

威胁等级

高危

影响程度

广泛

利用价值

利用难度

漏洞评分

\

3. 处置方法

3.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://vip.kingdee.com/article/505394681531036160?productLineId=1&amp%3BisKnowledge=2&isKnowledge=2

3.2 新华三解决方案

1、新华三安全设备防护方案

新华三IPS规则库已在1.0.269版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。

2、新华三态势感知解决方案

新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。

3、新华三云安全能力中心解决方案

新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。

4. 参考链接

https://vip.kingdee.com/article/505394681531036160?productLineId=1&amp%3BisKnowledge=2&isKnowledge=2

新华三官网
联系我们