漏洞描述
联想网盘FileZ存在任意用户登录漏洞,使得未经授权的用户能够访问或操作敏感数据、执行关键操作,甚至获取系统控制权。
漏洞危害
鉴权绕过漏洞可能导致攻击者获取敏感信息,如用户数据、商业机密等;对系统数据进行未授权的修改或删除;执行恶意操作,如安装后门、发起进一步的网络攻击;甚至可能导致整个系统或网络的瘫痪。
修复方法
一、临时缓解措施:
在确保业务不受影响的前提下,可暂时拦截对/xx/xx/getUserSession接口的访问请求。
限制访问来源地址,如非必要,不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本,下载地址:https://www.filez.com
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2025-01-13
漏洞信息更新
2025-07-07