漏洞描述
本漏洞出现在在线文档解析应用中的远程页面下载功能。具体问题在于该应用未能对用户输入的URL进行充分的安全验证,从而导致在13.10.1之前的版本中存在安全隐患。攻击者可通过构造特殊的URL,引诱应用下载恶意文件。
漏洞危害
该漏洞的利用可能导致服务器被远程控制、敏感数据泄露等等。漏洞的存在不仅威胁到该应用服务器的安全性,还可能成为更广泛网络安全事件的触发点。鉴于此,建议受影响的用户尽快采取必要的安全措施,以防范潜在的安全风险。
修复方法
在确保业务不受影响的前提下,可暂时拦截对/html/2word接口的访问请求。
限制访问来源地址,如非必要,不要将系统开放在互联网上。
升级产品至最新版本,下载地址:https://www.idocv.com/
评分维度
长亭安全产品覆盖情况
漏洞时间线
POC 披露
2023-08-22
漏洞披露
2023-08-22
漏洞信息更新
2025-03-24
