灵当CRM客户管理系统

销售咨询:

400-888-5110

Icon_not_found

灵当CRM上传任意文件漏洞的说明

1.可上传任意文件的漏洞说明

(1)漏洞文件:crm/wechatSession/index.php

(2)漏洞说明:该文件用于保存企业微信会话存档相关的附件,存在可上传任意文件的漏洞,容易被黑客利用上传木马文件。模拟一个上传文件的html页面就可以实现上传任意文件:

2.受影响的版本

(1)V8.6.3.3.13以下版本

(2)V8.6.3.4到V8.6.4.5版本

3.代码修改方案

(1)增加token验证、对返回值中的关键参数做加密处理。

(2)使用升级包升级时,可自动删除已上传的php/js/exe/bat/sh/db类型的可执行文件

4.漏洞修复措施

(1)升级到已经修复漏洞的版本,包含:V8.6.3.3.13、V8.6.4.6、V8.6.4.7

(2)建议升级到最新的V8.6.4.7版本

Windows服务器下载升级包安装

V8.6.4.7版本下载立即下载

Linux服务器下载升级包

V8.6.4.7版本下载立即下载
解压后运行upgrade.sh
公众号
公众号
视频号
视频号
下载灵当CRM
PC端:
Windows
移动端:
© Copyright 2008 - 上海灵当信息科技有限公司 沪ICP备17007324号-1 沪公网安备 31011502003299号
微信咨询

微信扫码 立即咨询

 电话咨询

销售热线:

400-888-5110

 

技术热线:

021-63201212

 免费试用
您即将进入灵当CRM模拟演示帐号
灵当CRM分为“PC端”和“微信小程序”两个部分
PC端 微信小程序
演示帐号数据为模拟数据