金蝶云星空 /CommonFileServer 存在任意文件读取漏洞

金蝶云星空 CommonFileserver 任意文件读取漏洞

1、如果被攻击者利用，可导致服务器敏感信息泄漏。例如：/etc/passwd、/etc/shadow、/ect/hosts等；
2、如果被攻击者利用，可导致后台代码被下载；
3、如果被攻击者利用，可导致数据库被下载。

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对/CommonFileServer/c:/windows/win.ini接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本，下载地址：https://www.kingdee.com/products/galaxy.html 或 https://open.kingdee.com/K3Cloud/Open/PTDownload.aspx