关于 iDocView 接口远程命令执行漏洞的安全告知
时间:2024-02-08 15:36:48来源:信息安全部作者:开yun体育官网入口
I Doc View 在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文档、电子表格、演示文稿、PDF文件等。
漏洞详情
I Doc View 在线文档预览系统存在远程代码执行漏洞,由于未能对用户输入的URL进行严格过滤,未经身份验证的远程攻击者利用 "/***/2word?url=" 接口可使服务器远程下载恶意文件,从而执行任意代码。
影响范围
iDocView < 13.10.1 20231115
漏洞复现
修复建议
厂商已禁用漏洞相关接口并升级软件版本到13.10.1_20231115,客户可下载官网发布的最新版本升级到该版本解决漏洞。
产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
参考链接
https://api.idocv.com