关于用友畅捷通T+ 远程命令执行漏洞的安全告知
时间:2023-12-04 17:48:21来源:信息安全服务部作者:开yun体育官网入口
畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。
漏洞详情
用友畅捷通T+ GetStoreWarehouseByStore 存在.net反序列化漏洞,在某些场景下开发者使用 Deserialize 或 DeserializeObject 方法处理不安全的 Json 数据时会造成反序列化攻击从而实现远程RCE漏洞,攻击者可以通过构造恶意的请求在目标服务器上执行任意命令。
影响范围
畅捷通 T+ 13.0
畅捷通 T+ 16.0
漏洞复现
修复建议
1、关注厂商主页,及时获取修复补丁
2、设置访问白名单
产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
参考链接
https://www.chanjetvip.com/product/goods
https://www.chanjetvip.com/product/goods/detail?id=6077e91b70fa071069139f62