【风险通告】明源云ERP任意文件上传漏洞

admin 2023年5月23日09:30:37评论479 views字数 869阅读2分53秒阅读模式
【风险通告】明源云ERP任意文件上传漏洞

漏洞公告

近日,安恒信息CERT监测到明源云ERP任意文件上传漏洞,目前技术细节及PoC未公开。未经身份验证的攻击者可以利用此漏洞任意上传文件至目标服务器,进而通过Webshell来实现远程控制。


该产品主要使用客户行业分布广泛,是主流的企业管理软件之一。该漏洞无需任何前置条件,建议客户尽快做好自查及防护。

漏洞信息

明源云ERP是一款由明源云科技有限公司开发的企业管理软件。明源云ERP产品旨在帮助企业实现数字化、智能化的管理,提高企业运营效率和核心竞争力。


漏洞标题

明源云ERP任意文件上传漏洞

应急响应等级

3级

漏洞类型

任意文件上传

影响目标

影响厂商

明源云科技有限公司

影响产品

明源云ERP

影响版本

(-∞, 4.5]

安全版本

(4.5,+∞)

漏洞编号

CVE编号

未分配

CNVD编号

未分配

CNNVD编号

未分配

安恒CERT编号

WM-202305-000003

漏洞标签

WEB应用、OA系统

CVSS3.1评分

9.8

危害等级

严重

CVSS向量

访问途径(AV)

网络

攻击复杂度(AC)

所需权限(PR)

无需任何权限

用户交互(UI)

不需要用户交互

影响范围(S)

不变

机密性影响(C)

完整性影响(I)

可用性影响(A)

威胁状态

Poc情况

未发现

Exp情况

未发现

在野利用

未发现

研究情况

分析中

 

舆情热度

公众号

Twitter

微博


修复方案

官方修复方案:

官方已发布修复方案,受影响的用户建议联系官方获取安全补丁:

https://www.mingyuanyun.com/


临时修复方案:

非必要不建议将该系统暴露在公网。


网络空间资产测绘

安恒CERT的安全分析人员利用Sumap全球网络空间超级雷达,通过资产测绘的方法,对该漏洞进行监测,近3个月数据显示,明源云ERPIP测绘数据 1843条,域名测绘数据7,719条,国内资产较多。


根据实际调研使用量,内网及互联网网络均有部署。建议客户尽快做好资产排查。


参考资料

1. https://www.mingyuanyun.com/


安恒信息CERT

2023年5月


原文始发于微信公众号(安恒信息CERT):【风险通告】明源云ERP任意文件上传漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月23日09:30:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】明源云ERP任意文件上传漏洞http://cn-sec.com/archives/1752192.html

发表评论

匿名网友 填写信息