1、问题描述:
应用服务器中间件V9.0 SP7及以下版本,管理控制台存在目录遍历、权限绕过问题,如下:
a. 构建特殊访问路径,则会显示根目录下的文件目录列表
b. 构建特殊访问路径,则会显示首页内容
攻击者可以利用该漏洞写入任意文件,获取WebShell权限,并控制服务器,进行数据窃取、勒索加密等攻击。为了安全性考虑,避免出现误删文件,建议打补丁解决。
2、问题处理
升级的管理控制台已经修复该问题,建议方法:
1) 新环境中,使用2022年8月后的应用服务器V9.0补丁版本,这个版本同时升级了存在案例问题的管理控制台。
下载地址:http://file.apusic.com/sharing/cPwClvy7x
2) 如果是生产环境,可以单独升级管理控制台,升级步骤
a) 从金蝶天燕公司获取最新发布的管理控制台补丁文件webtool.war,
下载地址:http://file.apusic.com/sharing/x4aRV1KlR
b) 停止运行应用服务器,把webtool.war文件覆盖安装目录下lib/webtool.war文件
c) 重启应用服务器。