【复现】金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告
【复现】金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告
赛博昆仑CERT 2025-04-25 14:38
- 赛博昆仑漏洞
安全风险通告
金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告
漏洞描述
金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬件,用于支撑企业级应用运行。
赛博昆仑CERT监测到
金蝶Apusic应用服务器IIOP远程代码执行漏洞的漏洞情报,Apusic V10.0应用服务器部分功能时使用了IIOP协议,未经过身份认证的攻击者可以通过构造恶意的反序列化数据在服务器上执行任意代码,从而进一步控制服务器。
|
漏洞名称 |
|
||
|
漏洞公开编号 |
未知 |
||
|
昆仑漏洞库编号 |
CYKL-2025-014655 |
||
|
漏洞类型 |
代码执行 |
公开时间 |
2025-04-01 |
|
漏洞等级 |
高危 |
评分 |
9.8 |
|
漏洞所需权限 |
无 |
漏洞利用难度 |
低 |
|
PoC状态 |
未知 |
EXP状态 |
未知 |
|
漏洞细节 |
未知 |
在野利用 |
未知 |
影响范围
Apusic 应用服务器软件 V10.0 企业版 SP1-SP8
漏洞复现
目前,赛博昆仑CERT已成功复现
金蝶天燕应用服务器IIOP远程代码执行漏洞。
防护措施
– 修复建议
目前,官方已发布安全补丁,建议受影响的用户尽快安装最新版本补丁。
下载地址:
https://www.apusic.com/view-477-120.html
- 技术业务咨询
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
联系邮箱:
[email protected]
公众号:赛博昆仑CERT
参考链接
https://www.apusic.com/view-477-120.html
时间线
2025年4月1日,官方发布补丁
2025年4月25日,赛博昆仑CERT发布漏洞风险通告
技术业务咨询