热门关键词用友NC 用友U9 用友U8 T+ 好业财 T3 好会计

    详细信息

    您现在的位置:网站首页 >> 公司资讯 >> 详细信息

    关于畅捷通T+软件存在任意文件上传漏洞的安全公告

    发布时间:2024-11-18  

    人工客服

    特价活动:>>>> 用友U8、T6、T+、T3软件产品4折优惠,畅捷通T+cloud、好会计、易代账、好业财、好生意云产品6-8折优惠 

    2022年8月30日,国家信息安全漏洞共享平台(CNVD)收录了畅捷通T+软件任意文件上传漏洞(CNVD-2022-60632)。未经身份认证的攻击者可利用漏洞远程上传任意文件,获取服务器控制权限。目前,已出现用户被不法分子利用该漏洞进行勒索病毒攻击的情况,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户立即升级到最新版本。


    一、漏洞情况分析

    畅捷通信息技术股份有限公司(以下简称畅捷通公司)是用友集团成员企业。畅捷通T+软件是畅捷通公司开发的ERP管理软件,采用B/S结构及NET开发技术,面向中小型工贸和商贸企业提供财务管理、采购管理、库存管理等业务功能,其产品目前有单机、公有云和云主机三种售卖形态。


    2022年8月29日和8月30日,畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。

    CNVD对该漏洞的综合评级为“高危”。


    二、漏洞影响范围

    漏洞影响的产品和版本:

    畅捷通T+单机版<=17.0且使用IIS10.0以下版本。


    三、漏洞处置建议

    目前,畅捷通公司已紧急发布漏洞补丁修复该漏洞,CNVD建议受影响的单位和用户立即升级至最新版本, 同时,请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作:


    1、用户自查步骤:

    查询本地是否存在website/bin/load.aspx.cdcab7d2.compiled、 website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件,如存在说明已经中毒,须重装系统,并安装产品打补丁。


    2、未中毒用户请:

    1)更新最新产品补丁。

    2)安装杀毒软件,并及时升级病毒库。

    3)升级IIS和Nginx低版本至IIS10.0和Windows 2016。

    4)本地安装客户需尽快确认备份文件是否完整,以及做了异地备份。云上客户请及时开启镜像功能。 5)未能及时更新补丁的用户,可联系畅捷通技术支持,采取删除文件等临时防范措施。


    3、已中毒用户请:

    1)检查服务器是否有做定期快照或备份,如有可通过快照或备份恢复数据。

    2)联系畅捷通技术支持,确认是否具备从备份文件恢复数据的条件及操作方法。


    4、T+补丁官网下载地址

    T+专属云17.0增强安全拦截补丁

    T+专属云16.0安全加固补丁包

    T+专属云15.0安全加固补丁包

    T+13.0安全加固补丁包

    T+12.3安全加固补丁包






     

     

    上一篇:“用友BIP 3”盛大发布 铸就企业数智化的“大国重器”

    客服电话:400-665-0028

    关键字:用友财务软件,畅捷通软件,财务软件,进销存软件,U9官网,用友U8,用友T1,用友T+,用友T3,用友T6,畅捷通好会计,好生意,智+好业财,用友培训服务售后公司,畅捷通运营培训服务公司

    版权所有:用友畅捷通软件 Copyright © 2024 All rights reserved.

    鲁ICP备2020041017号-6