天地伟业 Easy7 /rest/file/uploadFile 文件上传漏洞

影响产品：天地伟业 CVSS：8.9 漏洞类型：文件上传 漏洞描述： 天地伟业 Easy7 /rest/file/uploadFile 接口在文件上传过程中，未对上传文件的类型、扩展名及内容进行充分的安全校验与过滤，导致攻击者可以上传包含恶意代码的JSP等WebShell文件。该漏洞可导致攻击者完全控制服务器，窃取敏感数据或作为进一步内网渗透的跳板，利用门槛低且危害极大，建议相关单位立即排查并修复此高危漏洞。 影响： 攻击者可利用此漏洞上传恶意PHP文件（WebShell），从而获取服务器控制权，造成数据泄露、服务器被控制等严重后果。 修复建议： 建议厂商尽快修复此漏洞，临时缓解方案：1、限制上传接口的访问权限，仅允许授权用户访问2、加强上传文件的类型和内容检查3、禁止上传目录可执行权限4、升级至最新版本 FOFA： body="/Easy7/apps/WebService/LogIn.jsp" || body="Easy7/VideoLib.EXE" || body="/Easy7/index.html" || (body="<img src=\"./images/ico/Easy7_logo_transparent.png") || body="/Easy7/rest/file/downloadNote"