【已复现】契约锁电子签章系统远程代码执行漏洞

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=Mzk0ODM3NTU5MA==&mid=2247494222&idx=1&sn=7cce5793717ad1b863f654e0fdb795ed

【已复现】契约锁电子签章系统远程代码执行漏洞

原创 360漏洞研究院 360漏洞研究院 2025-07-11 08:50

【已复现】契约锁电子签章系统远程代码执行漏洞

漏洞概述

漏洞名称

契约锁电子签章系统远程代码执行漏洞

漏洞编号

LDYVUL-2025-00090312

公开时间

2025-07

POC状态

未公开

漏洞类型

远程代码执行

EXP状态

未公开

利用可能性

技术细节状态

未公开

CVSS 3.1

9.8

在野利用状态

未发现

01

影响组件

契约锁是一个电子签章及印章管控平台,提供电子文件签署、管理和验证服务。该平台的电子文件具有与纸质文件同等的法律效力,广泛应用于企业合同签署、政务办理、金融交易等多个领域。契约锁系统支持多种电子签名方式,包括手写签名、数字证书签名、印章签名等,并提供完整的签署流程管理和文档安全保障机制。

其中,pdfverifier 组件是契约锁电子签章系统的核心验证模块,负责处理和验证PDF文档的电子签名有效性,确保文档的完整性和不可篡改性。

02

漏洞描述

近日,契约锁官方披露了其电子签章系统中存在的
远程代码执行漏洞。攻击者可以在
无需任何身份认证的情况下,通过构造特定格式的恶意请求,在目标服务器上
执行任意系统命令。该漏洞的危害程度极高,一旦被成功利用,攻击者可获得目标服务器的
完全控制权,进而
窃取敏感数据、破坏系统功能、植入后门程序或将攻击范围扩大至内网其他系统,相当于攻击者获得了服务器的”
操作权限”。

03

漏洞复现****

360漏洞研究院已复现契约锁电子签章系统远程代码执行漏洞,通过写入文件的方式进行了验证。

【已复现】契约锁电子签章系统远程代码执行漏洞

发起文件写入请求

【已复现】契约锁电子签章系统远程代码执行漏洞

触发文件写入

04

漏洞影响范围****

以下版本的契约锁电子签章系统受到影响:

4.0.x <= 契约锁 <= 4.3.7 && 补丁版本 < 1.3.8

4.3.8 <= 契约锁 <= 5.3.x && 补丁版本 < 2.1.8

05

修复建议****

正式防护方案

契约锁官方已发布安全补丁,建议受影响用户立即更新到安全版本:

对于 4.0.x 至 4.3.7 版本用户:更新补丁版本至 1.3.8 或更高版本。

对于 4.3.8 至 5.3.x 版本用户:更新补丁版本至 2.1.8 或更高版本。

补丁下载地址:https://www.qiyuesuo.com/more/security/servicepack

临时缓解措施

  1. 如非必要,避免将契约锁电子签章系统直接暴露在互联网上。

  2. 部署Web应用防火墙(WAF),配置规则拦截可疑请求。

  3. 限制系统访问来源,仅允许可信IP地址访问系统。

  4. 加强系统监控,及时发现异常访问和操作行为。

  5. 定期备份重要数据,确保在系统遭受攻击时能够快速恢复。

06

产品侧支持情况

360测绘云 Quake
:默认支持该产品的指纹识别。

360高级持续性威胁预警系统
:已具备该漏洞的检测能力。告警ID为:
60129517
,建议用户尽快升级检测规则库

360资产与漏洞检测管理系统
:预计 2025年7月14日 发布规则更新包,支持该漏洞利用行为的检测。
本地安全大脑
:默认支持该漏洞的PoC检测。

07

时间线

2025年7月11日,360漏洞研究院发布本安全风险通告。

08

参考链接

https://www.qiyuesuo.com/more/security/servicepack

09

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。

邮箱:[email protected]

网址:https://vi.loudongyun.360.net

“洞”悉网络威胁,守护数字安全

关于我们

360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。

【已复现】契约锁电子签章系统远程代码执行漏洞

“扫描上方二维码,进入公众号粉丝交流群。更多一手网安咨询、漏洞预警、技术干货和技术交流等您参与!”