月子会所ERP管理云平台 /Page/ContractManager/ashx/Handler.ashx 文件上传漏洞

影响产品：月子会所ERP管理云平台 CVSS：8.9 漏洞类型：文件上传 漏洞描述： 月子会所ERP管理云平台 /Page/ContractManager/ashx/Handler.ashx 接口在文件上传过程中，未对上传文件的类型、扩展名及内容进行充分的安全校验与过滤，导致攻击者可以上传包含恶意代码的apsx等WebShell文件。该漏洞可导致攻击者完全控制服务器，窃取敏感数据或作为进一步内网渗透的跳板，利用门槛低且危害极大，建议相关单位立即排查并修复此高危漏洞。 影响： 攻击者可利用此漏洞上传恶意PHP文件（WebShell），从而获取服务器控制权，造成数据泄露、服务器被控制等严重后果。 修复建议： 建议厂商尽快修复此漏洞，临时缓解方案：1、限制上传接口的访问权限，仅允许授权用户访问2、加强上传文件的类型和内容检查3、禁止上传目录可执行权限4、升级至最新版本 FOFA： (body="js/JsEncryptHelper.js" || body="月子护理" && body="ERP" || body="Page/Login/Login3.aspx" || body="妈妈宝盒客户端" || body="http://pt.mm.hxqt.cn/Upload/wx_qrcode" || body="/UploadBaseFolder/ERP" || body="月子会所") && body="ERP"