中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于 iDocView 接口远程命令执行漏洞的安全告知

时间:2024-02-08 15:36:48来源:信息安全部作者:开yun体育官网入口

I Doc View 在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文档、电子表格、演示文稿、PDF文件等。

漏洞详情
I Doc View 在线文档预览系统存在远程代码执行漏洞,由于未能对用户输入的URL进行严格过滤,未经身份验证的远程攻击者利用 "/***/2word?url=" 接口可使服务器远程下载恶意文件,从而执行任意代码。

影响范围
iDocView < 13.10.1 20231115

漏洞复现
image008.png

修复建议
厂商已禁用漏洞相关接口并升级软件版本到13.10.1_20231115,客户可下载官网发布的最新版本升级到该版本解决漏洞。

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://api.idocv.com

XML 地图