中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于用友畅捷通T+任意文件上传漏洞的安全告知

时间:2022-08-31 17:27:18来源:信息安全服务部作者:开yun体育官网入口

用友畅捷通T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

漏洞详情

8月30日,用友畅捷通官方发布安全更新补丁,修复了用友畅捷通T+任意文件上传漏洞,该漏洞允许未经身份认证的远程攻击者通过构造特定请求,将恶意文件上传至目标系统,从而执行任意代码,控制服务器。漏洞源于Upload.aspx文件存在认证缺陷,向该文件传递preload参数可直接绕过系统权限认证,实现任意文件上传,从而控制服务器。

影响范围

畅捷通 T+ <= v17.0

修复建议

1、针对已感染的主机:
a) 查看安装目录(Chanjet\TPlusStd\DBServer\data)下的zip备份及mdf数据库文件是否被加密,若未被加密,可重新部署建账,并恢复备份或SQL数据库文件。
b) 若zip备份及数据库文件均被加密,可查找是否存在其他备份文件,或咨询第三方专业数据恢复公司,尝试对加密SQL数据库文件进行修复。
2、针对未感染的主机:
a) 检查是否开启了数据自动备份,并同时将备份文件通过移动硬盘、NAS、网盘等多种方式进行储存。
b) 目前官方已更新补丁,下载链接:
https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

参考链接

https://www.chanjet.com/news/123914.html?a=pzh&c=pzh&infrom=bdpz

XML 地图