用友-移动系统管理平台 uploadApk.do 任意文件上传漏洞

用友-移动系统管理平台 uploadApk.do 存在任意文件上传漏洞

1、执行任意代码：攻击者可以通过上传包含恶意代码的文件，执行任意代码并控制受害者的计算机或服务器，导致数据泄露、破坏或其他恶意行为。
2、篡改或删除数据：攻击者可以上传包含恶意代码的文件，并篡改或删除服务器上的重要文件或数据。
3、钓鱼攻击：攻击者可上传 html、shtm 等文件，并写入非法博彩、赌博等恶意 SEO 页面或者写入恶意 js 文件进行钓鱼来非法获取用户信息等。

1.关注用友安全中心通告，找到具体漏洞通告，其中有漏洞修复具体方式和补丁下载链接：https://security.yonyou.com/#/home
2.登录用友智能服务云平台提交工单获取补丁：http://ismcloud.yonyou.com
临时修复方案：
1.在不影响业务的情况下配置URL访问控制策略；
2.对服务器上的网站后门文件进行及时查杀。