iDocView在线文档预览系统存在任意文件上传漏洞

admin
admin
admin
138655
文章
114
评论
2023年11月24日00:41:14评论156 views字数 605阅读2分1秒阅读模式

iDocView在线文档预览系统存在任意文件上传漏洞


iDocView在线文档预览系统存在任意文件上传漏洞










iDocView,即iDocV的全称,是一家跨国在线文档预览服务公司,提供第三方API可供调用。








01 漏洞描述

漏洞类型:iDocView在线文档预览系统存在任意文件上传漏洞

简述:iDocView在线文档预览系统存在文件上传漏洞,漏洞存在于iDocView的远程页面缓存功能中由于该应用未能对用户输入的URL进行充分的安全验证,导致攻击者可通过构造特殊的URL使服务器下载恶意文件,从而实现执行任意代码。漏洞等级高危
漏洞详情以及利用POC已在互联网公开,相关用户需尽快采取防护措施
iDocView在线文档预览系统存在任意文件上传漏洞


02 漏洞影响版本


iDocView < 13.10.1_20231115



03 漏洞修复方案

官方升级
目前I Doc View官方已发布新版本修复该漏洞,建议受影响的用户尽快至官网下载更新或联系技术支持获取安全补丁修复漏洞。
官方链接:https://www.idocv.com/about.html

临时防护措施
若相关用户暂时无法进行升级操作,在不影响业务的前提下对受影响系统进行访问限制;若未使用到该功能,可对该API接口的请求进行拦截。



04 参考链接

https://xz.aliyun.com/t/13096

http://www.hackdig.com/11/hack-1147868.htm




END



原文始发于微信公众号(锋刃科技):iDocView在线文档预览系统存在任意文件上传漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月24日00:41:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   iDocView在线文档预览系统存在任意文件上传漏洞https://cn-sec.com/archives/2234185.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息