金蝶云星空 /ScpSupRegHandler 路径存在任意文件上传漏洞

预览

金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。2023年11月，互联网上披露金蝶云星空任意文件上传漏洞情报，攻击者可利用该漏洞上传任意文件，获取服务器控制权限。

预览

1、执行任意代码：攻击者可以通过上传包含恶意代码的文件，执行任意代码并控制受害者的计算机或服务器，导致数据泄露、破坏或其他恶意行为。
2、篡改或删除数据：攻击者可以上传包含恶意代码的文件，并篡改或删除服务器上的重要文件或数据。
3、钓鱼攻击：攻击者可上传 html、shtm 等文件，并写入非法博彩、赌博等恶意 SEO 页面或者写入恶意 js 文件进行钓鱼来非法获取用户信息等。

预览

一、修复方案
官方已发布漏洞修复方案，建议尽快查看官方安全通告或联系官方售后支持获取版本升级安装包或补丁，官方安全通告：https://vip.kingdee.com/article/505394681531036160?productLineId=1&isKnowledge=2
二、临时缓解方案

1. 在确认不影响业务的情况下，暂时禁用受影响系统的文件上传功能，直到使用升级补丁。
2. 如非必要，不要将受影响系统放置在公网上。或通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。