北京赛克艾威科技有限公司 2025-06-11
契约锁是上海亘岩网络科技有限公司推出的一个电子签章及印章管控平台。 受影响版本中,契约锁后台管理系统的/api/setup/dbtest 接口存在未授权JDBC可控注入风险。攻击者可利用该接口,根据系统中存在的 JDBC 驱动版本,构造恶意的 JDBC 连接字符串,进而实现攻击行为。(如通过可控的 PostgreSQL JDBC 字符串,攻击者可能实现任意文件写入或远程代码执行;而利用可控的 MySQL JDBC 字符串,则可能导致远程代码执行或任意文件读取。) 修复版本中通过检测系统是否已完成安装流程来限制访问权限,一旦安装流程完成,用户将无法再访问 /api/setup/dbtest 接口。
1. 通过https://www.qiyuesuo.com/more/security/servicepack 安装1.3.5或2.1.5版本补丁
https://www.oscs1024.com/hd/MPS-79hi-x3ce