易达科技ECMS /app/uploadFile 文件上传漏洞

影响产品：易达科技ECMS CVSS：8.6 漏洞类型：文件上传 漏洞描述： 易达科技ECMS是由易达科技推出的一款企业内容管理系统，提供内容管理、文档管理、工作流程管理等功能，广泛应用于政府、企业、教育、医疗等行业的网站建设和内容管理场景。该系统采用Java EE架构，支持多站点管理、模板定制、权限控制等核心功能。易达科技ECMS的 /app/uploadFile 接口存在文件上传漏洞，攻击者可通过构造恶意jsp文件上传到服务器，获取服务器系统权限。 影响： 攻击者可利用该漏洞上传任意文件,包括WebShell木马文件,进而获取服务器控制权限,窃取敏感数据、破坏系统完整性,并对内网进行横向渗透,造成严重数据泄露和业务中断风险。 修复建议： 1、对上传文件的类型、大小、内容进行严格验证。2、禁止上传jspx、jsp等可执行文件。3、对上传文件进行重命名，避免路径穿越。4、限制上传目录的执行权限。5、升级到最新版本。 FOFA： body="crs/ecms_std/logo/loginLogo.png"