时空智友 ERP 系统任意文件上传漏洞预警
1、基本情况
时空智友 ERP 是一款基于云计算和大数据技术的企业资源计划管理系统。该系统旨在帮助企业实现数字化转型,提高运营效率、降低成本、增强决策能力和竞争力,时空智友 ERP 系统涵盖了企业的各个业务领域,包括财务管理、供应链管理、生产计划、库存管理、人力资源管理、客户关系管理等。
近日,监测发现北京时空智友科技有限公司研发的 ERP 系统(企业资源计划管理系统)/formservice?service=updater.uploadStudioFile 接口存在任意文件上传漏洞,攻击者可上传恶意程序到服务器上,导致服务器权限被控制。
鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2、影响范围
受影响版本
时空智友 ERP
3、处置建议
目前官方已发布漏洞修复版本,建议用户升级到安全版本:
https://bjskzy.com/