【高危漏洞预警】契约锁电子签章系统远程代码执行漏洞

cexlife 飓风网络安全 2025-06-12 15:51

漏洞描述:

契约锁是一款电子签章及印章管控平台,该漏洞源于管理控制台存在未授权JDBC注入漏洞,攻击者通过构造恶意数据库连接参数,在dbtеѕt接口触发远程代码执行。

影响产品:

4.3.8 <= 契约锁 <= 5.3.* && 补丁版本 < 2.1.5

4.0.* <= 契约锁 <= 4.3.7 && 补丁版本 < 1.3.5 

攻击场景:

攻击者可能通过构造恶意数据库连接参数,在dbtеѕt接口触发远程代码执行

修复建议:

契约锁官方已发布安全补丁,请及时更新安全补丁

官方补丁下载地址:

https://www.qiyuesuo.com/more/security/servicepack 

缓解措施:

避免将该系统管理端HTTP服务直接暴露在互联网