严重
iDocView /html/2word 远程代码执行漏洞
披露时间:
2023-08-22
更新时间:
2025-02-10
CT 编号
CT-827723
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
远程代码执行
漏洞评分
9.8
漏洞描述
本漏洞出现在在线文档解析应用中的远程页面下载功能。具体问题在于该应用未能对用户输入的URL进行充分的安全验证,从而导致在13.10.1之前的版本中存在安全隐患。攻击者可通过构造特殊的URL,引诱应用下载恶意文件。
漏洞危害
该漏洞的利用可能导致服务器被远程控制、敏感数据泄露等等。漏洞的存在不仅威胁到该应用服务器的安全性,还可能成为更广泛网络安全事件的触发点。鉴于此,建议受影响的用户尽快采取必要的安全措施,以防范潜在的安全风险。
修复方法
临时缓解方案
- 在不影响业务的前提下,限制对受影响系统的网络访问。使用防火墙或其他网络隔离方法来限制对应用的访问,仅允许可信网络或用户访问该服务。
- 官方已在新版本废弃该API,可考虑在不使用该功能的情况下,拦截针对该API的访问请求。
升级修复方案
iDocView官方已发布新版本修复漏洞,建议尽快访问官方网站(https://www.idocv.com/about.html) 或联系相关技术支持获取最新版本或补丁修复漏洞。
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
POC 披露
2023-08-22
漏洞披露
2023-08-22
漏洞信息更新
2025-02-10
