金蝶云星空存在反序列化漏洞

金蝶云星空管理中心的通信层默认采用的是二进制数据格式，需要进行序列化与反序列化，在此通信过程中未做签名或校验，攻击者可以通过反序列化执行任意代码，导致系统被攻击与控制

1、如果被攻击者利用，可直接getshell；
2、如果被攻击者利用，可被用于内网信息收集，扫描目标内网主机；
3、如果被攻击者利用，可攻击运行在内网或本地的应用程序；
4、如果被攻击者利用，可被用作攻击跳板；

一、临时缓解措施：在确保业务不受影响的前提下，可暂时拦截对/{{value}}Kingdee.BOS.ServiceFacade.ServicesStub.DevReportService.GetBusinessObjectData.common.kdsvc接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案：升级产品至最新版本，下载地址为https://www.kingdee.com/products/galaxy.html 或 https://ik3cloud.kingdee.com/