用友时空KSOA downnewsatt 任意文件读取漏洞

用友时空KSOA存在 downnewsatt 任意文件读取漏洞

1、如果被攻击者利用，可导致服务器敏感信息泄漏。例如：/etc/passwd、/etc/shadow、/ect/hosts等；
2、如果被攻击者利用，可导致后台代码被下载；
3、如果被攻击者利用，可导致数据库被下载。

1.关注用友安全中心通告，找到具体漏洞通告，其中有漏洞修复具体方式和补丁下载链接：https://security.yonyou.com/#/home
2.登录用友智能服务云平台提交工单获取补丁：http://ismcloud.yonyou.com
临时修复方案：
1.在不影响业务的情况下配置URL访问控制策略；
2.对服务器上的网站后门文件进行及时查杀。