【严重】易悦电子签名平台计划任务上传执行无限制上传

文末可以体检免费靶场

目前共计提供了12个免费靶场，包括耳熟能详的开源靶场，还有一些CVE漏洞

    易悦电子签名平台（版本≤4.34）被曝出存在一项高危安全漏洞。该漏洞根源在于平台定时任务处理组件的/api/code/upload文件中，其execute功能对参数文件（File）的处理存在逻辑缺陷，未进行严格的校验与过滤，由此导致了任意文件上传漏洞的出现。

    这一漏洞具有较高的风险等级：远程攻击者无需本地权限，即可通过精心构造的请求，利用该漏洞向平台服务器上传包含恶意代码的文件（如后门程序等）。一旦上传成功，攻击者可能进一步获取服务器控制权，窃取敏感数据、篡改系统配置甚至发起更广泛的网络攻击。

    目前，该漏洞已被公开披露，相关技术细节可能已被不法分子掌握，实际被利用的风险显著提升。值得注意的是，供应商在较早前就已收到关于该漏洞的披露信息，但截至目前未采取任何修复措施或作出官方回应，这使得使用该版本平台的用户仍处于无防护状态。

易悦电子签名平台（版本低于或等于4.34）。

    建议相关用户立即核查自身使用的易悦电子签名平台版本，若版本在 4.34 及以下，应暂时停用该平台或采取隔离措施，同时持续向供应商施压，要求其尽快发布安全补丁以修复漏洞。

2025-08-10

https://avd.aliyun.com/detail?id=AVD-2025-8775

易悦电子签名平台作为一款提供电子签名服务的工具，在提升签署效率、简化流程方面被广泛应用。