信创政务产品安全漏洞专业库:
针对贵单位于2023年04月对我司远程检测发现的“m6米乐Apusic应用服务器系统”存在任意文件上传漏洞,我司高度重视并立即进行漏洞验证分析,现将验证结果汇报如下:
一、验证描述(需要包含影响产品型号、影响产品版本、漏洞产生原因分析)
影响产品型号:Apusic Application Server
影响产品版本:9.0
漏洞产生原因分析:
部署应用功能为用户使用用户名及口令登录到管理控制台后,提交本地应用文件并将部署到应用服务器。只有满足固定格式的应用才能部署成功,才能提供服务。
部署的内容是客户的业务系统,内容存在各种可能性,对内容限制会影响客户业务系统的正常部署。通过正常功能上传的内容,需要客户进行安全性保证。
因此如果要利用此漏洞,首先必须拿到用户名及口令,同时客户对上传内容安全性不保证,即使对上传的类型及格式进行了检测和限制,也可以上传满足要求的类型及格式的后门应用,绕过此限制。
目前尚未找到直接利用上传的文件的方法。
二、预计修复时间
登陆管控台部署应用系统是应用服务器的预期功能,不是漏洞,无需修复。
三、后续工作
后续我司将根据《中华人民共和国网络安全法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》等相关法律法规要求,持续完善产品安全和漏洞管理,加强对公司全员及客户的产品安全使用的相关宣导,接受国家相关部门的监督检查。