产品要闻
新闻中心
实时新闻,实时资讯

金蝶天燕应用服务器存在权限绕过问题的说明及处理办法

  • 发布时间:2023-11-09 18:28:33
  • 分享:

1、问题描述:

应用服务器中间件V9.0 SP7及以下版本,管理控制台存在目录遍历、权限绕过问题,如下:

a. 构建特殊访问路径,则会显示根目录下的文件目录列表

b. 构建特殊访问路径,则会显示首页内容

攻击者可以利用该漏洞写入任意文件,获取WebShell权限,并控制服务器,进行数据窃取、勒索加密等攻击。为了安全性考虑,避免出现误删文件,建议打补丁解决。

2、问题处理

升级的管理控制台已经修复该问题,建议方法:

1) 新环境中,使用2022年8月后的应用服务器V9.0补丁版本,这个版本同时升级了存在案例问题的管理控制台。

下载地址:http://file.apusic.com/sharing/cPwClvy7x

2) 如果是生产环境,可以单独升级管理控制台,升级步骤

a) 从金蝶天燕公司获取最新发布的管理控制台补丁文件webtool.war

下载地址:http://file.apusic.com/sharing/x4aRV1KlR

b) 停止运行应用服务器,把webtool.war文件覆盖安装目录下lib/webtool.war文件

c) 重启应用服务器。