【安全预警】

国能数智科技公司

——IT基础服务事业部

一、威胁漏洞

● 用友U8 CRM客户关系管理系统getemaildata.php任意文

●PigCMS action_flashUpload 任意文件上传漏洞

● 网御ACM上网行为管理系统 bottomframe.cgi SQL 注入漏洞

●QAX-Vpn存在未授权管理用户遍历及任意账号密码修改漏洞

●有用畅捷通T+GetStoreWarehouseByStore RCE漏洞

<<<<<<<<<<<<<<<<<<<<

二、天擎Nginx配置漏洞

情况说明：

       天擎nginx配置会把部分请求流量转发给服务器上其他程序处理。/ptsvr/upload会调用go语言编写的web 程序文件上传功能，且未对文件名作限定，导致任意文件上传RCE。天擎V6.7.0.4130前台（管理端）无条件RCE漏洞会直接获取到天擎服务端系统最高权限。通过此漏洞，攻击者可以对企业组织内全部客户端系统进行权限接管。可使用高权限账户执行开关机、高权限管理员添加、远程截屏、远程桌面连接、恶意任务下发、群发恶意公告链接对PC客户端钓鱼、配置恶意API接口、敏感信息窃取（包括策略/硬件/软件/操作系统/插件信息/日志等）等等高危操作。攻击者亦可关闭其威胁检测与响应功能，使接入终端处于不设防状态，攻击者可种入木马、后门等进行权限维持。另外可对各终端的外设设备/无线网卡/热点/外联进行管理操作，严重干扰影响企业业务的正常运转，对企业的业务、数据、资产造成非常严重的危害。

影响版本：天擎V6.7.0.4130

<<<<<<<<<<<<<<<<<<<<

三、SmartX 超融合系统远程命令执行漏洞

情况说明：

      SmartX超融合系统是构建超融合平台的核心软件，能够基于不同虚拟化平台和软硬件的交付方式实现超融合架构。Smartx超融合系统存在远程命令执行漏洞，攻击者可利用该漏洞执行任意命令，控制服务器。

临时修复方案：

重点拦截访问 /api/v2/deployment/can_ping的可疑ip