亿赛通CDG存在逻辑缺陷漏洞
【通告编号】
YST-PSIRT-2024090201
【漏洞概述】
北京亿赛通科技发展有限责任公司电子文档安全管理系统(CDG)存在逻辑缺陷漏洞,因为校验机制不完善导致攻击者可非法越权进行敏感操作。
【版本和修复方案】
|
产品名称 |
受影响版本 |
修复方案 |
|
CDG |
5.5.18.32.155及以下版本 (820及之前版本分支) |
升级 5.5.18.37.161及以上版本 |
【影响后果】
通过此漏洞,攻击者可利用该漏洞在登录后越权进行其他敏感操作。
【漏洞等级】
中危
【补丁获取路径】
1、升级包获取链接如下:https://update.nsfocus.com/update/cdgIndex
2、如您有任何问题或短期内无法升级需要规避方案,可联系我司技术支持热线(400-898-1617)或各区域代表处相关人员获取支持。
(特别提醒:请注意从官方站点进行升级包获取并注意升级包MD5校验,切勿从其他非官网地址进行升级文件下载)
【规避措施】
避免设备访问面直接暴露在互联网,控制可访问设备管理地址范围,可削减漏洞被利用风险。
北京亿赛通科技发展有限责任公司
2024年9月5日
2024年9月10日 14:01
