深科特 LEAN MES系统 /Handler/UploadHander.ashx 文件上传漏洞

影响产品：深科特 LEAN MES系统 CVSS：8.9 漏洞类型：文件上传 漏洞描述： LEAN MES系统是由深圳市深科特信息技术有限公司开发的一款应用系统，主要用于生产调度、产品跟踪、质量控制等车间管理功能。LEAN MES精益制造执行系统通过强调制造过程的信息化和透明化，帮助企业由粗放式向精益化管理模式升级。该系统/Handler/UploadHander.ashx存在任意文件上传漏洞。攻击者可通过构造恶意请求，绕过文件类型或内容校验，上传恶意文件（如WebShell），实现任意命令执行，获取服务器控制权限，导致敏感数据泄露或系统被进一步攻击。 影响： 攻击者可利用此漏洞上传恶意aspx文件（WebShell），从而获取服务器控制权，造成数据泄露、服务器被控制等严重后果。 修复建议： 建议厂商尽快修复此漏洞，临时缓解方案：1、限制上传接口的访问权限，仅允许授权用户访问2、加强上传文件的类型和内容检查3、禁止上传目录可执行权限4、升级至最新版本 FOFA： title="LEAN MES - 用户登录" || body="Content/js/skt.utility.checkmobile.js" || body="../MobileApp/VerifyError.aspx" || body="Content/login/login2/multiplant_top.png"