漏洞概要

漏洞名称	iDocView html/2word 远程代码执行漏洞
发布时间	2023年11月22日
组件名称	iDocView
影响范围	iDocView < 13.10.1_20231115
漏洞类型	远程代码执行
利用条件	1、用户认证：不需要用户认证 2、前置条件：默认配置 3、触发方式：远程
综合评价	<综合评定利用难度>：容易，可执行任意代码。 <综合评定威胁等级>：高危，可执行任意代码。
官方解决方案	已发布

漏洞分析

iDocView 是一种用于查看和管理文档的软件工具。它通常用于浏览各种类型的文档，如PDF、Word文档、Excel表格等。iDocView 可能还具有搜索、标注、批注和共享文档的功能，使用户能够更轻松地处理和利用其文档资源。

2023年11月22日，深信服安全团队监测到一则iDocView组件存在远程代码执行漏洞的信息，漏洞威胁等级：高危。

iDocView在/html/2word 路径下存在远程代码执行漏洞。攻击者可以通过该漏洞执行恶意代码获取权限，导致服务器失陷。

iDocView < 13.10.1_20231115

官方已发布新版本修复该漏洞，请用户将软件更新到13.10.1_20231115之上的版本。