.jpg)
一、概述
针对近期多地反馈的“金蝶Apusic应用服务器Axis动态WebService注册导致远程命令执行漏洞”相关咨询,我司技术与研发部门已开展全面、严格的专项排查,基于核查结果进行如下的申明。
经核查确认:金蝶Apusic应用服务器产品本身未集成Axis组件,该漏洞描述的“通过AdminService方法注册危险类并在/ormrpc/services路径调用执行代码”的攻击路径在我司产品中不成立,产品本身不存在上述漏洞。
客户咨询的相关漏洞信息如下:
漏洞名称:Axis动态WebService注册导致远程命令执行漏洞
漏洞风险等级:高
漏洞影响:攻击者可利用动态注注册机制执行恶意命令,接管服务器控制权,窃取应用数据或植入恶意程序,导致服务器被远程操控,干扰业务连续性。
在核查过程中发现,该漏洞由部署在应用服务器之上的应用引起,该漏洞属于该应用的已知安全问题,建议客户尽快联系应用厂商进行升级,该应用安全公告链接如下:
