漏洞描述
紫光电子档案管理系统 System/WorkFlow/download.html 路径存在任意文件读取漏洞。攻击者可获取对系统文件的读取权限,从而访问敏感信息,如配置文件、源代码、用户数据等。
漏洞危害
文件读取漏洞可能导致敏感信息泄露,包括但不限于系统配置、用户数据、源代码等,从而使攻击者能够进一步了解系统架构、用户信息,甚至可能导致其他安全问题的连锁反应,如SQL注入、XSS等。
修复方法
一、临时缓解措施:
在确保业务不受影响的前提下,可暂时拦截对/System/WorkFlow/download.html接口的访问请求。
限制访问来源地址,如非必要,不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本,下载地址:http://www.unissoft.cn/