漏洞概要

漏洞名称	金蝶云星空ScpSupRegHandler任意文件上传漏洞
发布时间	2023年11月20日
组件名称	金蝶云星空
影响范围	金蝶云星空企业版私有云、企业版私有云（订阅）、标准版私有云（订阅）三个产品 V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁)
漏洞类型	任意文件上传
利用条件	1、用户认证：不需要用户认证 2、前置条件：默认配置 3、触发方式：远程
综合评价	<综合评定利用难度>：容易，可上传任意文件。 <综合评定威胁等级>：高危，可上传任意文件。
官方解决方案	已发布

漏洞分析

金蝶云星空-管理中心是一款基于云计算技术的企业管理软件，旨在为企业提供全面的管理解决方案。该软件集成了财务、人力资源、采购、销售等多个模块，支持多语言、多币种、多账套等功能，能够满足不同企业的管理需求。同时，金蝶云星空-管理中心还具备高效的数据分析和报表功能，帮助企业实现精细化管理和决策。

2023年11月20日，深信服安全团队监测到一则金蝶云星空组件存在任意文件上传漏洞的信息，漏洞威胁等级：高危。

金蝶云星空的ScpSupRegHandler接口存在任意文件上传漏洞，远程攻击者可以利用此漏洞上传任意文件。

金蝶云星空企业版私有云、企业版私有云（订阅）和标准版私有云（订阅）三个产品 V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁)

官方已发布新版本修复漏洞，建议尽快访问官网或联系官方售后支持获取版本升级安装包或补丁。