iDocView在线文档预览系统存在任意文件上传漏洞

2023年11月24日00:41:14评论120 views字数 605阅读2分1秒阅读模式

iDocView在线文档预览系统存在任意文件上传漏洞

iDocView，即iDocV的全称，是一家跨国在线文档预览服务公司，提供第三方API可供调用。

01 漏洞描述

漏洞类型：iDocView在线文档预览系统存在任意文件上传漏洞

简述：iDocView在线文档预览系统存在文件上传漏洞，漏洞存在于iDocView的远程页面缓存功能中，由于该应用未能对用户输入的URL进行充分的安全验证，导致攻击者可通过构造特殊的URL使服务器下载恶意文件，从而实现执行任意代码。漏洞等级：高危。

漏洞详情以及利用POC已在互联网公开，相关用户需尽快采取防护措施。

02 漏洞影响版本

iDocView < 13.10.1_20231115

03 漏洞修复方案

官方升级

目前I Doc View官方已发布新版本修复该漏洞，建议受影响的用户尽快至官网下载更新或联系技术支持获取安全补丁修复漏洞。

官方链接：https://www.idocv.com/about.html

临时防护措施

若相关用户暂时无法进行升级操作，在不影响业务的前提下对受影响系统进行访问限制；若未使用到该功能，可对该API接口的请求进行拦截。

04 参考链接

https://xz.aliyun.com/t/13096

http://www.hackdig.com/11/hack-1147868.htm

END

原文始发于微信公众号（锋刃科技）：iDocView在线文档预览系统存在任意文件上传漏洞

深度身份防御（IDID）的领导力指南报告