漏洞公告
近日,安恒信息CERT监测到畅捷通T+前台存在远程命令执行漏洞,目前技术细节及PoC在互联网中暂未公开。攻击者可以通过构造恶意的请求,在目标服务器上执行任意命令。中央研究院已复现此漏洞。
畅捷通T+存在远程命令执行漏洞复现截图
本次更新内容:
新增安恒信息产品线解决方案。
漏洞信息
畅捷通T+是一款主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。
| 漏洞标题 | 畅捷通T+存在远程命令执行漏洞 | ||
| 应急响应等级 | 2级 | ||
| 漏洞类型 | 远程代码执行 | ||
| 影响目标 | 影响厂商 | 用友畅捷通 | |
| 影响产品 | TPlus | ||
| 影响版本 | (-∞, 16.000.000.0283) | ||
| 安全版本 | [16.000.000.0283, +∞) | ||
| 漏洞编号 | CVE编号 | 未分配 | |
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 | WM-202306-000001 | ||
| 漏洞标签 | WEB应用、OA系统 | ||
| CVSS3.1评分 | 9.8 | 危害等级 | 严重 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 | ||
| 所需权限(PR) | 无需任何权限 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 不变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 高 | ||
| 可用性影响(A) | 高 | ||
| 威胁状态 | Poc情况 | 已发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 未发现 | ||
| 研究情况 | 已复现 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
该产品主要使用客户行业分布广泛,基于CVSS3.1评分该漏洞无前置条件,漏洞危害性极高,建议客户尽快做好自查及防护。
官方修复方案:
官方已发布修复方案,受影响的用户建议联系官方获取安全补丁
https://www.chanjetvip.com/product/goods/goods-detail
临时缓解措施:
非必要不建议将该系统暴露在公网
网络空间资产测绘
安恒CERT的安全分析人员利用Sumap全球网络空间超级雷达,通过资产测绘的方法,对该漏洞进行监测,近3个月数据显示,畅捷通T+IP测绘数据20404条,域名测绘数据458条,国内资产较多。
根据实际调研使用量,内网及互联网网络均有部署。建议客户尽快做好资产排查。
产品能力覆盖
目前安恒信息已有8款产品覆盖该漏洞检测与防护。
|
产品名称 |
覆盖补丁包 |
|
AiLPHA大数据平台 |
AiNTA-v1.2.5_release_ruletag_1.1.1111 |
|
AXDR平台的流量探针 |
AiNTA-v1.2.5_release_ruletag_1.1.1111 |
|
明鉴漏洞扫描系统 |
1.3.984.1057 |
|
明鉴远程安全评估系统 |
1.3.984.1057 |
|
云鉴版漏洞扫描系统 |
1.3.984.1057 |
|
WebScan7 |
1.0.1.89 |
|
WAF |
已支持 |
|
玄武盾 |
已支持 |
参考资料
https://www.chanjetvip.com/product/goods
安恒信息CERT
2023年6月
原文始发于微信公众号(安恒信息CERT):【二次更新】畅捷通T+存在远程命令执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论