漏洞预警 | 浙大恩特客户资源管理系统任意文件上传漏洞

浅安 浅安安全 2025-02-21 00:02

0x00 漏洞编号
– # 暂无

0x01 危险等级
– 高危

0x02 漏洞概述

浙大恩特客户资源管理系统是一款外贸管理软件，它提供了多种功能，包括客户档案管理、邮件管理、OA外贸办公管理系统、分管权限管理、联系跟进及提醒、业务检查管理、统计分析管理等。

0x03 漏洞详情

漏洞类型：
任意文件上传

影响：
控制服务器

简述：
浙大恩特客户资源管理系统中的/entsoft/ProductAction.entphone;.js接口存在任意文件上传漏洞，允许攻击者向系统上传任意恶意JSP文件，从而可能导致潜在的远程执行代码攻击。

0x04 影响版本
– 浙大恩特客户资源管理系统

0x05POC状态
– 已公开

0x06修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

http://www.entersoft.cn/