【安全通告】泛微多个产品漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,泛微官方发布安全更新,此次更新涉及旗下ecology及e-mobile两款产品。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
受影响产品:ecology
漏洞名称:1、任意文件上传绕过漏洞 ;2、安全补丁绕过漏洞
风险等级:高风险
影响版本:ecology<=9.0
修复方法:升级ecology安全补丁包至最新版本。>=v6.42或者>=v10.35
补丁地址:https://www.weaver.com.cn/cs/securityDownload.html#
检测方法:用sysadmin登录,访问http://oa地址/security/checksec20210411.jsp,可查看检测结果。如果是404或检测结果有【未通过】项,则需要手动升级安全补丁。
受影响产品:e-mobile
漏洞名称:sql注入
风险等级:高风险
影响版本:e-mobile4.0-6.6
修复方法:升级EMobile4.0-6.0最新安全补丁
补丁地址:https://www.weaver.com.cn/cs/mobileDownload.html
检测方法:访问【http://emobile地址/messageType.do?method=create&typeName=1'】(特别注意:单引号必须带上,不能删除,不然测试结果不准确。),返回403页面,则表示漏洞修复。
其他安全建议:e-mobile<=6.5的版本,建议升级至emobile6.6,去除struts2框架;e-mobile<=5.5的版本,建议升级至emobile5.6或者emobile6.6版本,去除struts2框架;e-mobile7不受此漏洞影响。
修复建议
目前官方已发布漏洞修复版本,请检查您的产品是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。
如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
漏洞参考
官方安全公告:
https://www.weaver.com.cn/cs/security/edm20210411_awekoit80rexdzpecytrbgh.html?wxwork_userid=sj2018