1.1漏洞背景 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。近日,新华三盾山实验室监测到金蝶云星空存在任意文件上传漏洞,攻击者可利用该漏洞上传恶意代码,获取服务器控制权限。 1.2漏洞详情 此漏洞是由于金蝶云星空未对上传路径和文件后缀进行严格的验证和过...
金蝶云星空管理中心存在反序列化命令执行,攻击者可通过该漏洞获取敏感信息,进而接管服务器。 一、系统简介 金蝶云星空管理中心是金蝶软件(中国)有限公司基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。 二、漏洞描述 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理...
攻击者可能利用此漏洞,构造恶意攻击请求,远程执行命令,对系统进行破坏,导致信息泄漏。 【影响版本】 金蝶云星空企业版私有云、企业版私有云(订阅)、标准版私有云(订阅)三个产品的管理中心, 涉及版本:V8.0[8.0.0.202202]至[[8.1.0.20230608],V7.5.1至V7.7 【修复方案】 安装安全加固补丁: 高危提醒:为了您的信息系...
金蝶云星空私有化部署,站点发布到外网使用的客户环境,攻击者可利用此漏洞上传文件到星空系统,可能导致存储型Dos。 【影响版本】 受影响的金蝶云星空产品版本范围列表: 产品版本 金蝶云星空PT110091[构建号:6.1.316.5] 至 PT112111[构建号:6.1.394.12]所有版本 金蝶云星空PT110913[构建号:6.2.339.1] 至 PT123230[构...
一:漏洞描述 金蝶云星空是金蝶集团面向大中型企业的一个核心产品,聚焦多组织,多利润中心的企业。它以“开放、标准、社交”三大特性为数字经济时代的企业提供开放的ERP云平台。该产品CommonFileServer存在任意文件读取漏洞。 二:漏洞影响版本 金蝶云星空 三:网络空间测绘查询 fofa:title="金蝶云星空 管理中心" 四:漏洞复现...
金蝶云星空是一款基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。 金蝶云星空存在任意文件读取漏洞。未经身份认证的攻击者可以构造特制请求包进行请求,从而读取服务器上的任意文件内容。 漏洞危害 未授权攻击者可以利用该漏洞读取服务器上的任意文件。
漏洞描述: 金蝶云星空是一款基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。金蝶云星空的多个版本存在反序列化漏洞。未经身份认证的攻击者可以利用该漏洞执行任意代码,导致服务器被控制。 漏洞危害: 未经身份认证的攻击者可以利用该漏洞执行任意代码,导致系统被攻击与控制。 影响范...
## 金蝶云-星空ServiceGateway反序列化漏洞 金蝶星空云ServiceGateway.GetServiceUri.common.kdsvc接口存在反序列化漏洞,可执行恶意命令回显结果。 ## fofa ``` body="kdUtils.min.js" ``` ## poc ``` POST /Kingdee.BOS.ServiceFacade.ServicesStub.ServiceGateway.GetServiceUri.common.kdsvc HTTP/1.1 Host: ...
漏洞描述 金蝶云星空管理中心的通信层默认采用的是二进制数据格式,需要进行序列化与反序列化,在此通信过程中未做签名或校验,攻击者可以通过反序列化执行任意代码,导致系统被攻击与控制 漏洞危害 1、如果被攻击者利用,可直接getshell; 2、如果被攻击者利用,可被用于内网信息收集,扫描目标内网主机; 3、如果被攻击者利...
## 金蝶云-星空ServiceGateway反序列化漏洞 金蝶星空云ServiceGateway.GetServiceUri.common.kdsvc接口存在反序列化漏洞,可执行恶意命令回显结果。 ## fofa ``` body="kdUtils.min.js" ``` ## poc ``` POST /Kingdee.BOS.ServiceFacade.ServicesStub.ServiceGateway.GetServiceUri.common.kdsvc HTTP/1.1 Host: ...