亿赛通PSIRT负责接收、调查和披露亿赛通产品相关的安全漏洞,是公司对漏洞信息进行披露的重要窗口。亿赛通鼓励漏洞研究人员、行业组织、政府机构和供应商主动将与亿赛通产品相关的安全漏洞报告给亿赛通PSIRT。 安全漏洞是指在系统设计、部署、运营或管理中,可被利用于违反系统安全策略的缺陷或弱点; 安全漏洞上报者可以通过email...
dataimport 接口存在远程代码执行漏洞,攻击者可利用该漏洞执行任意代码,进而获取服务器权限。 3、受影响版本 亿赛通 电子文档安全管理系统 4、FOFA语句 app="亿赛通-电子文档安全管理系统" 5、漏洞复现 http://xxx.xxx.xxx.xxx/solr/flow/dataimport 访问成功则存在漏洞 远程执行命令,直接执行whoami看回显,也可以通过D...
关于亿赛通CDG产品漏洞修复的说明 近期,我们注意到外部网络出现了关于电子文档安全管理系统(CDG)存在漏洞被利用的信息,对于此类涉及我司产品安全性的信息,我们高度重视,并立即组织了专业的技术团队进行了全面核查,并借助集团力量进行了深度渗透测试。 经过深入的技术分析与验证,我们郑重承诺,当前我司产品团队针对已发现的...
总结一下:前端可传入cur、path、userId三个值,path明文为uri路径,用作跳转,此处可输入后台地址路径:/frame.jsp;cur明文为时间戳,尽量往大了取,原则上是大于600s;userId明文为存在的用户名,亿赛通管理员用户名为systemadmin。 CDGUtil加解密可以直接导入亿赛通原有的jar包来调用函数,能省去不少麻烦。 漏洞复现 明...
漏洞描述:亿赛通电子文档安全管理系统旧版本中的uploadfilefromclientserviceforclient接口存在文件上传漏洞。潜在风险:攻击者可构造恶意请求上传webshell,实现远程代码执行,可能导致未经授权的攻击者上传恶意后门文件,进而获取服务器权限。命令执行漏洞:漏洞描述:亿赛通电子文档安全管理系统利用的Apache Solr存在...
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,亿赛通电子文档安全管理系统存在高危漏洞。亿赛通电子文档安全管理系统(简称CDG)是一款电子文档加解密产品,由于存在高危漏洞,可被攻击者利用获取服务器控制权限,进而实施网络攻击。未升级至最新版本的CDG 820及之前版本系列、新一代CDG系列都可能受...
亿赛通数据泄露防护(DLP)系统NoticeAjax SQL注入漏洞 漏洞复现 应用界面如下所示: 漏洞POC如下所示: 代码语言:javascript 代码运行次数:0 运行 AI代码解释 POST/CDGServer3/NoticeAjax;ServiceHTTP/1.1Host:x.x.x.x.Content-Length:96command=delNotice&iceId=123';+if+(select+IS_SRVROLEMEMBER('sysadmin'))=1...
漏洞简介 亿赛通电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统,采用实时动态加解密保护技术和实时权限回收机制,提供对各类电子文档内容级的安全保护。 北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在命令执行漏洞,攻击者...
漏洞描述 亿赛通电子文档安全管理系统以数据资产防泄密为核心,涵盖文档安全、终端安全、防勒索、安全态势、集团管控五大板块,实现对用户电脑终端、移动办公、各类应用系统上的数据从生产、存储、流程、外发到销毁进行全生命周期保护。亿赛通电子文档安全管理系统使用了Apache Solr,漏洞编号:CVE-2019-0193,可造成RCE。
漏洞简介 北京亿赛通科技发展有限责任公司是一家以从事科技推广和应用服务业为主的企业。 亿赛通电子文档安全管理系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 漏洞公示 在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户...