瑞友天翼应用虚拟化系统 /AgentBoard.XGI 路径存在SQL注入漏洞

瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台，它将用户各种应用软件集中部署到瑞友天翼服务集群，客户端通过WEB即可访问经服务器上授权的应用软件，实现集中应用、远程接入、协同办公等。瑞友天翼应用虚拟化系统存在远程代码执行漏洞，攻击者可以通过该漏洞执行任意代码，导致系统被攻击与控制。

攻击者可以在易受攻击的系统上执行任意 SQL 语句。根据正在使用的后端数据库， SQL 注入漏洞会导致攻击者访问不同级别的数据/系统。不仅可以操作现有查询，还可以合并任意数据、使用子选择或追加附加查询。在某些情况下，可以读入或写出文件，或者在底层操作系统上执行 shell 命令。

在确保业务不受影响的前提下，可以暂时拦截对/ConsoleExternalUploadApi.XGI接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
升级产品至最新版本。