关于畅捷通T+自有部署版本存在文件上传漏洞的安全通告

9月1日，畅捷通官方发布关于畅捷通 T+自有部署版本存在文件上传漏洞 (漏洞编号：CNVD-2022-60632)的安全通告。未经身份认证的攻击者可利用漏洞远程上传任意文件，获取服务器控制权限。目前，已出现用户被不法分子利用该漏洞进行勒索病毒攻击的情况，公司已发布安全更新完成修复。CNVD建议受影响的单位和用户立即升级到最新版本。

一、漏洞情况分析

畅捷通信息技术股份有限公司（以下简称畅捷通公司）是用友集团成员企业。畅捷通T+软件是畅捷通公司开发的ERP管理软件，采用B/S结构及NET开发技术，面向中小型工贸和商贸企业提供财务管理、采购管理、库存管理等业务功能，其产品目前有单机、公有云和云主机三种售卖形态。

2022年8月29日和8月30日，畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞，通过绕过系统鉴权，在特定配置环境下实现任意文件的上传，从而执行任意代码，获得服务器控制权限。目前，已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品和版本：

畅捷通T+单机版<=17.0且使用IIS10.0以下版本。

三、漏洞处置建议

目前，畅捷通公司已紧急发布漏洞补丁修复该漏洞，CNVD建议受影响的单位和用户立即升级至最新版本：

https://www.chanjetvip.com/product/goods

同时，请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作：

1、用户自查步骤：

查询本地是否存在website/bin/load.aspx.cdcab7d2.compiled、website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件，如存在说明已经中毒，须重装系统，并安装产品打补丁。

2、未中毒用户请：

1）更新最新产品补丁。

2）安装杀毒软件，并及时升级病毒库。

3）升级IIS和Nginx低版本至IIS10.0和Windows 2016。

4）本地安装客户需尽快确认备份文件是否完整，以及做了异地备份。云上客户请及时开启镜像功能。

5）未能及时更新补丁的用户，可联系畅捷通技术支持，采取删除文件等临时防范措施。

3、已中毒用户请：

1）检查服务器是否有做定期快照或备份，如有可通过快照或备份恢复数据。

2）联系畅捷通技术支持，确认是否具备从备份文件恢复数据的条件及操作方法。

4、技术支持渠道

如有技术问题，请联系畅捷通技术支持：4006600566-9

5、不受影响版本

1）畅捷通T+Cloud

2）畅捷通T+云主机板

及时掌握网络安全态势尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用

本文来源:互联网

如涉及侵权，请及时与我们联系，我们会在第一时间删除或处理侵权内容。
电话：400-869-9193 负责人：张明