深科特 LEAN MES系统 /Handler/UploadPortraits.ashx 文件上传漏洞

影响产品：深科特 LEAN MES系统 CVSS：7.5 漏洞类型：文件上传 漏洞描述： 深科特 LEAN MES 精益制造执行系统存在 UploadPortraits.ashx 文件上传漏洞，因系统后台 UploadPortraits.cs 未对上传文件的后缀名做任何校验，攻击者可构造恶意请求直接上传.aspx 等恶意脚本文件至服务器可访问目录，进而实现远程代码执行（RCE），完全控制服务器。 影响： 攻击者可构造恶意请求直接上传.aspx 等恶意脚本文件至服务器可访问目录，进而实现远程代码执行（RCE），完全控制服务器。 修复建议： 立即关闭该系统的互联网暴露面，禁止外网直接访问，同时为 UploadPortraits.ashx 上传接口配置严格的身份认证与访问权限，限制非授权用户调用，并补充对上传文件后缀名、文件类型、文件内容的全面校验，封堵恶意文件上传路径。 FOFA： title="LEAN MES - 用户登录" || body="Content/js/skt.utility.checkmobile.js" || body="../MobileApp/VerifyError.aspx" || body="Content/login/login2/multiplant_top.png"