“统一身份认证平台”任意文件读取漏洞预警
1、基本情况
联奕科技股份有限公司于 2004 年 07 月 05 日在广州市工商行政
管理局登记成立。公司经营范围包括软件开发;信息系统集成服务;
信息技术咨询服务等。
近日,监测发现联奕科技股份有限公司研发的“统一身份认证平
台” downloadFile 接口存在任意文件读取漏洞,攻击者可通过该漏
洞获取服务器敏感信息,存在较大安全风险。
鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2、影响范围
受影响版本
统一身份认证平台
3、处置建议
(1)更新最新的基础服务镜像(24 年 3 月以后的网关和权限平台不用更新,其他都需
要更新)
registry.ly-sky.com:5000/dev/ly-mssp-auth-svc:1.16
registry.ly-sky.com:5000/dev/ly-mssp-auth-ui:1.6
docker pull registry.ly-sky.com:5000/dev/ly-cloud-api-gateway-sv:1.7
(注:基础服务升级相关疑问请联系供应链厂商联系人)
(2)修改网关配置文件(ly-gateway-server-svc-dev.yml)(先备份网关配置文件再修改)
(1)在 /api/bd-api/** : anon 上面加上/api/bd-api/apiSearch/downloadFile : xssExec
(2)在文件最下面添加xssExec:black-url-path-pattern:select,update,and,delete,insert,truncate,char,into,substr,ascii,declare,exec,master,into,drop,execute,table,char,declare,sitename,xp_cmdshell,like,from,grant,group_concat,column_name,information_schema.columns,table_schema,union,where,order,by,'*,;,--,+,//,/,#,Javascript,script,src,img,onerror,{,},#,),<,>,=,\\,,;,:,\",\"\",',#,!,/,*,\"\",\\,../,./,javascript,script,prompt,alert,comfirm,onmouserover,onerror,document,onclick